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出 版 说 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
目前 信息 安全 人 才 极 度 匮乏 , 远 远 不 能 满足 金融 、 商 业 、 公 安 、 军 事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、` 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 教 
育 专业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 .并 成 立 了 “高 等 院 校 信 息 安 全 专业 系列 教材 ”编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量 前 上 脆性 
的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 发 展 不 断 深入 。 经 
过 编 委 会 全 体委 员 及 相关 专家 的 推荐 和 审定 ,确定 了 本 从 书 首 批 教材 的 作者 ， 
这 些 作 者 绝 大 多 数 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 话 、 又 在 教学 第 一 线 有 
丰富 的 教学 经 验 的 学 者 、 专 家 。 

本 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

中 体系 完整 结构 合理 .内容 先进 。 

@ 适应 面 广 : 能 够 满足 信息 安全 、 计 算 机 、 通 信和 了 工程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

@ 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 习题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

为 了 保证 出 版 质量 ,我 们 坚持 宁 缺 考 滥 的 原则 ,成 熟 一 本 ,出 版 一 本 ,并 
保持 不 断 更 新 ,力求 将 我 国信 息 安全 领域 教育 .科研 的 最 新 成 果 和 成 熟 经 验 
反映 到 教材 中 来 。 在 全 力 做 好 本 版 教材 , 满足 学 生 用 书 的 基础 上 , 还 经 由 专 
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家 的 推荐 和 审定 , 遵 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 加 入 到 本 系列 教材 中 ,以 进 一 
步 满足 大 家 对 外 版 书 的 需求 。 热 切 期 望 广大 教师 和 科研 工作 者 加 入 我 们 的 队伍 ,同时 也 
欢迎 广大 读者 对 本 系列 教材 提出 宝贵 意见 .以便 我 们 对 本 系列 教材 的 组 织 、 编 写 与 出 版 工 
作 不 断 改进 ,为 我 国信 息 安全 专业 的 教材 建设 与 人 才 培 养 做 出 更 大 的 贡献 。 

“高 等 院 校 信息 安全 专业 系列 教材 "已 于 2006 年 年 初 正式 列 入 普通 高 等 教育 “十 一 
五 ”国家 级 教材 规划 ( 见 教 高 [2006]9 号 文件 (教育 部 关于 印发 普通 高 等 教育 “十 一 五 ” 国 
家 级 教材 规划 选 题 的 通知 》) 。 我 们 会 严 把 出 版 环节 ,保证 规划 教材 的 编校 和 印刷 质量 , 按 
时 完成 出 版 任务 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 暨 第 一 次 会 
议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 主任 单 
位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 等 学 校 信息 
安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 起 到 重要 的 指导 和 推动 作 
用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ”的 教学 科研 
项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 组 织 实 施 。 
在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 年 ,制定 出 我 
国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 教育 司 理 工科 
教育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 使 用 。2013 
年 ,新 一 届 “ 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 ”成立 。 经 组 织 审 查 和 研究 决 
定 ,2014 年 以 “教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 ”的 名 义 正式 发 布 (高 等 学 
校 信息 安全 专业 指导 性 专业 规范 (由 清华 大 学 出 版 社 正式 出 版 )。“ 高 等 院 校 信息 安全 专 
业 系 列 教材 ?在 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 的 指导 下 ,根据 (高 等 学 校 
信息 安全 专业 指导 性 专业 规范 》 组 织 编写 和 修订 ,进一步 体现 科学 性 .系统 性 和 新 颖 性 ,及 
时 反映 教学 改革 和 课程 建设 的 新 成 果 , 并 随 着 我 国信 息 安全 学 科 的 发 展 不 断 完 善 。 

我 们 的 E-mail 地 址 : zhangm@tup. tsinghua. edu. cn; 联 系 人 : 张 民 。 
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随 着 中 央 网 络 安全 与 信息 化 领导 小 组 的 成 立 , 信息 安 全 进入 公众 的 视 
野 , 它 不 仅 关系 到 国防 军事 等 重大 战略 问题 以 及 国计民生 等 新 兴 战 略 产业 的 
发 展 ,而 且 与 每 个 人 的 日 常生 活 息息相关 。 目 前 ,我 国信 息 安全 所 面临 的 形 
势 十 分 严峻 ,信息 安全 学 科 的 发 展 已 经 刻不容缓 ,信息 安全 学 科 升 级 为 国家 
一 级 学 科 也 已 经 提 上 议事 日 程 。 

信息 安全 数学 是 信息 安全 学 科 的 理论 基础 ,其 内 容 涉 及 面 较 广 ,例如 数 
论 与 有 限 域 等 在 信息 安全 的 重要 基础 课 如 密码 学 中 有 大 量 的 应 用 。 信 息 安 
全 数学 基础 是 信息 安全 专业 一 门 重要 的 基础 必修 课程 。 此 外 ,信息 安全 数学 
在 计算 机 科学 .信息 与 通信 工程 .网 络 工程 .电子 对 抗 等 学 科 中 也 都 有 着 重要 
的 应 用 。 

目前 信息 安全 数学 方面 的 书籍 有 些 难 以 读 懂 , 这 在 一 定 程度 上 阻碍 了 信 
息 安全 学 科 以 及 信息 安全 知识 的 普及 。 对 抽象 的 数学 知识 介绍 较 多 ,虽然 一 
定 程 度 上 可 以 锻炼 学 生 的 抽象 思维 能 力 , 但 容易 造成 学 生 对 所 学 内 容 的 晨 难 
情绪 。 另 外 ,单纯 的 理论 知识 介绍 会 导致 学 生 不 清楚 这 些 理论 如 何 应 用 ,从 
而 对 所 学 内 容 不 能 留 下 较 深 刻 的 印象 。 一 些 来 自 计 算 机 科学 .通信 工程 、 网 
络 工 程 等 专业 的 学 生 虽然 对 信息 安全 方向 感 兴趣 ,但 是 因为 信息 安全 数学 知 
识 的 抽象 和 难以 普及 导致 无 法 将 本 专业 与 信息 安全 方向 结合 起 来 。 

本 书 重点 强调 信息 安全 数学 基础 在 信息 安全 中 的 应 用 ,并 通过 实践 ( 算 
法 与 编程 ) 环 节 强 化 对 理论 的 理解 。 减 少 了 一 些 在 信息 安全 中 应 用 较 少 的 非 
重点 数学 理论 ,注重 从 计算 机 科学 (算法 ) 角 度 介绍 而 不 是 从 纯 数学 角度 介 
绍 。 强 调 抽 象 知识 的 算法 解释 和 形象 化 ,便于 读者 自学 和 易于 教学 。 

本 书 在 写作 过 程 中 特别 遵循 了 以 下 思路 。 

(1) 体例 新 颖 活泼 、 语 言 通俗 易 懂 、 精 心安 排 示 例 。 注 意 到 目前 市 场 上 
“大 话 X X Xx”“X XxX X 趣 谈 ”“ 图 解 X X xX” 等 图 书 深 受 读者 喜爱 ,本 书 在 保 
证 论述 的 严谨 性 前 提 下 ,语言 尽量 形象 生动 ,文风 尽量 活泼 ,以 激发 学 习 者 的 
兴趣 。 根 据 作者 对 “信息 安全 数学 基础 ”这 一 课程 多 年 的 教学 实践 经 验 , 给 出 
一 些 较 为 独特 的 比喻 ,虽然 有 些 比较 浅显 ,但 主要 目的 是 让 读者 特别 是 初学 
者 快速 理解 ,印象 深刻 ,阅读 轻松 。 

(2) 内 容 编 排 独 特 、 循 序 渐 进 、 由 浅 入 深 。 注 重 内 容 之 间 的 联系 和 讲解 
先后 次 序 。 内 容 选取 尽量 考虑 到 重要 性 和 必要 性 。 注 重 给 出 一 些 浅 显 易 懂 
的 类 比 ,便于 读者 建立 所 学 知识 与 前 后 内 容 之 间 的 联系 。 
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(3) 以 应 用 为 导向 ,理论 联系 实际 。 不 单纯 讲解 数学 基础 ,而 是 从 应 用 需要 的 角度 出 
发 ,着 重 讲解 基础 知识 点 和 关键 点 ,突出 实用 性 和 可 操作 性 。 注 重 对 算法 和 实践 能 力 的 培 
养 , 书 中 重点 介绍 计算 数论 (算法 数论 ) 中 的 算法 ,鼓励 读者 自主 实现 这 些 算法 来 提高 实践 
能 力 。 

(4) 注重 启发 性 和 对 创新 能 力 的 培养 。 通 过 在 正文 中 设立 “思考 ”环节 ,以 提高 启发 
性 并 激发 读者 思考 。 在 内 容 组 织 中 潜移默化 地 强调 数学 素养 的 培养 ,根据 数学 内 容 的 需 
要 ,采用 合 情 归 纳 法 .演绎 法 .公理 集合 论 方法 等 多 种 论述 方法 。 

全 书 共 分 12 章 : 第 1 章 整除 ;第 2 章 同 余 ; 第 3 章 同 余 式 ; 第 4 章 二 次 同 余 式 和 平方 
剩余 ;第 5 章 原 根 与 指数 ;第 6 章 群 ;第 7 章 环 与 域 ;第 8 章 素性 检测 ;第 9 章 椭 圆 曲 线 群 ; 
第 10 章 大 整数 分 解 算法 ;第 11 章 离 散 对 数 算法 ;第 12 章 其 他 高 级 应 用 。 其 中 ,第 9 一 12 
章 为 高 级 部 分 ,高 级 部 分 与 部 分 打 星 号 的 章节 可 选 学 。 全 书 授课 学 时 为 40 一 64 学 时 。 

本 书面 向 的 主要 对 象 包括 从 事 信 息 和 网 络 安 全 研究 的 科研 人 员 ,学 习 信 息 安全 相关 
课程 的 高 等 院 校 信息 安全 类 、 计 算 机 科学 类 ,信息 与 计算 科学 类 专业 本 科 生 ,以 及 从 事 信 
息 安全 技术 研发 .应 用 和 管理 的 工程 技术 人 员 。 

本 书 受 到 了 国家 自然 科学 基金 面 上 项 目 (No. 61170217) ,以 及 湖北 省 教育 厅 高 等 学 
校 教 学 研究 项 目 (No. 2015A06) 的 支持 ,在 此 表示 感谢 。 感 谢 研究 生 叶 敏 , 刘 宇 靓 、 林 佳 
华 、 曹 强 、 曾 玲玲 的 辅助 性 工作 。 

愿 本 书 的 写作 能 为 我 国信 息 安 全 数学 的 教学 和 普及 起 到 一 点 抛砖引玉 的 作用 。 由 于 
作者 水 平和 学 识 有 限 ,不 足 之 处 在 所 难免 ,在 此 衷心 恳请 广大 读者 、 同 行 批评 指正 。 联 系 
方式 是 weirencs@cug. edu. cn。 
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应 用 与 实践 


在 整数 集合 中 ,整除 是 一 种 重要 的 二 元 关系 ,相关 概念 和 性 质 包 括 素 数 、 公 因数 、 欧 几 
里 得 除法 ( 轧 转 相 除法 ,Euclid 除法 ) ,算术 基本 定理 等 。 这 些 概 念 和 性 质 又 是 整数 集合 中 
另 一 种 重要 的 二 元 关系 一 一 同 余 关 系 的 基础 。 本 章 先 介绍 整除 ,第 2 章 介 绍 同 余 。 

本 章 的 重点 是 Euclid 除法 和 Euclid 算法 ,难点 是 扩展 的 Euclid 算法 。 


而 整除 的 概念 


通常 ,用 Z 表示 整数 集合 ,整数 即 为 0, 士 1, 士 2,…。 
自然 数 是 非 负 整数 ,用 N 来 表示 。 
定义 1.1( 整 除 ) ” 设 a,b 是 任意 两 个 整数 ,其 中 5 隆 0。 如 果 存 在 一 个 整数 gq, 使 得 
a=% 
成 立 , 则 称 5b 整除 a 或 者 a 被 5b 整除 , 记 作 45la。5 叫做 a 的 因数 ,a 叫做 2 的 倍数 。9 写成 


a/b 或 者 和 。 否则, 称 4 不 能 整除 4, 或 者 a 不 能 被 5 整除 , 记 作 4b a。 


注意 ,这 里 整除 的 定义 通过 乘法 运算 给 出 的 (而 不 是 通过 除法 运算 定义 的 ) ;通过 整数 
q 的 存在 性 表述 整除 性 。 另 外 ,符号 bla 本 身 就 包含 了 4 关 0。 

例 1.1 请 写 出 20 的 所 有 因数 。 

解答 : 士 1, 士 2, 士 4, 士 5, 士 10, 士 20。 

根据 定义 ,有 : 

0 是 任何 非 零 整 数 的 倍数 , 即 a10, 这 里 a 了 0,4€2; 

1 是 任何 整数 的 因数 , 即 1|a.a€2; 

任何 非 零 整 数 a 是 自己 的 倍数 ,也 是 自己 的 因数 , 即 ala, 这 里 a 关 0,a€2Y。 

整除 有 如 下 性 质 : 

例 1.2 设 a,6 为 整数 。 若 bla, 则 6|( 一 a),( 一 D)|a,( 一 中 |( 一 @) ,lbl|lal。 

证 明 : 由 bla, 于 是 存在 整数 g, 使 得 一。 

要 证 明 所 需 结论 , 即 需要 证 明 存在 整数 Q, 使 得 等 式 ( 一 4a) 二 Qb,a 二 Q( 一 0),( 一 a) 
Q( 一 6) ,lal= 二 QI65| 成 立 。 

由 条 件 a 二 gv 通过 简单 的 推理 可 以 发 现 , 当 Q 分 别 为 一 g, 一 g,g,1q| 时 ,上 述 等 式 满 
足 。 于 是 可 知 ,相应 的 整数 Q 存在 。 国 

加 
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由 这 个 例子 可 知 ,可 将 重点 放 在 正 整数 的 整除 上 来 。 

上 述 证 明 的 思路 在 于 : 从 已 知 条 件 和 证 明 目 标 同时 入手 ,变换 转换 ,中 间 相 遇 。 具 体 
而 言 ,由 整除 的 概念 得 到 相应 等 式 , 由 相应 等 式 推出 整数 Q 的 存在 性 ,由 整数 Q 的 存在 性 

由 这 一 思路 ,可 以 证 明 整 除 的 如 下 性 质 (请 读者 自行 给 出 证 明 并 给 出 实例 ): 

定理 1.1( 传 递 性 ) 设 a 关 0,6 关 0,c 是 三 个 整数 。 车 alb,blc, 则 alc。 

定理 1.2 设 a,b,c 关 0 是 三 个 整数 。 若 cla,c|0, 则 cla 土 6。 

定理 1.3 设 a,b,c 关 0 是 三 个 整数 。 若 cla,c1b, 则 对 任意 整数 ;,t, 有 

clsatith 

(提示 : Q 分 别 为 qigz ,qi 土 qs ,sqi 土 1q2) 

例 1.3 设 a,b,c 取 0 是 三 个 整数 ,对 于 cla,clb, 如 果 存 在 整数 ;,i, 使 得 sa 十 b= 二 1， 
则 c= 土 1。 

证 明 : 因为 cla,clb, 存 在 整数 ;,t, 使 得 sa 十 w==1, 于 是 由 定理 1.3, 有 clsa 十 10 二 1， 
于 是 ,c= 土 1。 国 

由 整除 和 因数 的 概念 ,可 以 根据 因数 情况 对 整数 进行 分 类 。 

定义 1.2 设 整 数 取 0, 士 1, 如 果 除 了 平凡 因数 士 1, 士 n 外 ,n 没有 其 他 因数 ,那么 
叫做 素数 (或 质数 .不 可 约 数 ) ,否则 叫做 合 数 。 

当 整 数 2 入 0, 士 1 时 ,n 和 一 n 同 为 素数 或 合 数 。 因 此 ,车 没有 特别 声明 ,素数 总 是 指 
正 整数 ,通常 写成 p。 

思考 1.1: 请 写 出 30 以 内 的 素数 。 

(答案 , 2,3,5,7,11,13,17,19,23,29) 

下 面 证 明 每 个 合 数 必 有 素 因数 。 

定理 1.4 设 n 是 一 个 正 合 数 ,p 是 n 的 一 个 大 于 1 的 最 小 正 因数 , 则 p 一 定 是 素数 ， 
且 p<vn. 

证 明 : 反 证 法 。 若 p 不 是 素数 , 则 存在 整数 g,1 二 gq 二 p, 使 得 glp, 由 条 件 知 pln, 于 
是 根据 定理 1.1, 有 gln, 这 与 p 是 n 的 大 于 1 的 最 小 正 因 数 了 矛盾 。 所 以 p 是 素数 。 

车 p 记 Vn 成 立 , 则 nn 的 另 一 个 因数 n/p 二 n/Wn==Vn, 于 是 ,n/p 是 一 个 比 p 小 的 因数 ， 
这 与 p 是 n 的 大 于 1 的 最 小 正 因 数 矛 盾 。 证 毕 。 图 

非 正 式 地 说 ,上 述 定理 说 明了 两 点 : 素 因 数 可 以 视 为 合 数 的 “组 成 成 分 ”。 且 这 一 “组 
成 成 分 ”中 必然 有 一 个 小 于 等 于 Yn。 

定理 1.4 给 出 了 寻找 素数 的 有 效 方法 。 为 了 求 出 不 超过 给 定 正 整数 zx(Cz>1) 的 所 有 
素数 ,只 要 把 从 2 到 xz 的 所 有 合 数 都 删 去 即 可 。 因 为 不 超过 z 的 合 数 nn 必 有 一 个 素 因 子 
PVn 二 Vx, 所 以 只 要 先 求 出 Vz+ 以 内 的 全 部 素数 {p;,1 三 ik) (其 中 ,为 人 以 内 的 素数 
个 数 ) ,然后 把 不 超过 z 的 p; 的 倍数 (p; 本 身 除 外 ) 全 部 删 去 , 剩 下 的 就 正好 是 不 超过 zx 
的 全 部 素数 。 这 种 寻找 素数 的 方法 称 为 Eratosthenes 筛 法 。 

例 1.4 求 出 不 超过 64 的 所 有 素数 。 


解答 : 先 求 出 不 超过 V64 二 8 的 所 有 素数 ,依次 为 2,3,5,7, 然 后 从 2 一 64 的 所 有 整 
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数 依次 删 去 除了 2、3、5、7 以 外 的 2 的 倍数 、3 的 倍数 .5 的 倍数 、7 的 倍数 , 剩 下 的 即 为 所 
求 。 具体 过 程 如 下 所 示 : 


2 3 于 

1 17 YW 1 2 247 22 23 34 2 了 下 27 

绰 为 有 3 投了 3 3 35 3 隐 3 又 打 

41 站 和 泣 好 弘 47 站 50 51 

近 53 和 季 9 向 59 机 61 有 反 护 克 


可 见 ,没有 删 去 的 数 是 : 2、3、5、7、11、13、17、19、23、29、31、37、41、43、47、51、53、59、 
61。 这 些 即 为 不 超过 64 的 所 有 素数 。 

依据 上 述 方法 可 以 编写 一 个 算法 ,输出 不 超过 输入 值 的 所 有 素数 。 

一 个 很 自然 会 想到 的 问题 就 是 : 素数 是 否 可 以 穷 举 ? 下 面 的 证 明说 明 素数 的 数量 有 
无 穷 多 个 。 

定理 1.5 素数 有 无 穷 多 个 。 

证 明 : 反 证 法 。 假 设 有 有 限 个 素数 , 则 不 妨 设 它们 为 pi ,ps，…,p,。 考 虑 大 于 1 的 
整数 


N=p1p2"* p+ 1 
容易 看 到 : pi ，p:,…，p。 都 不 能 整除 N ,于 是 N 没有 素 因数 ,由 定理 1.4 知 ,N 不 是 
合 数 ,于 是 N 为 素数 。 这 与 有 限 个 素数 矛盾 。 国 


公元 前 3 世纪 古 希腊 大 数学 家 欧 几 里 得 (Euclid) 在 The Elements (中 文 译名 为 《几何 
原本 》) 一 书 中 给 出 了 该 证 明 方 法 ,成 了 一 种 经 典 的 “构造 矛盾 ”的 反 证 法 。0 

可 以 看 到 ,本 节 论 述 的 过 程 遵循 了 数学 公理 化 方法 ,该 方法 从 基本 概念 和 公理 出 发 ， 
通过 证 明 逐 步 扩 充 定理 和 性 质 。 


.2 Euclid 算法 


前 面 讨 论 的 是 整除 的 情况 ,如 果 不 能 整除 时 会 如 何 呢 ? 

定理 1.6(Euclid 除法 ,也 称 为 带 余 除法 ) ” 设 a.b 是 两 个 整数 ,其 中 2 二 0, 则 存在 叭 
一 的 整数 g,r 使 得 

a= w+r, 0O<r<b (让 
证 明 : 先 证 明 存 在 性 。 考 虑 一 个 整数 序列 
“3b,—2b,—b,0,0,20,3b,..*: 

它们 将 实数 轴 分 成 长 度 为 5 的 一 系列 区 间 , 而 a 必定 落 在 其 中 的 一 个 区 间 上 。 因 此 

存在 一 个 整数 g, 使 得 


gb<a<=(g+1)6 


Q@ ”该 命题 为 (几何 原本 ) 第 9 卷 第 20 个 命题 ,编号 为 IX. 20, 原 命题 是 : 预先 给 定 几 个 质数 ,那么 有 比 它们 更 多 
的 质数 。 该 证 明 被 (来 自 天 书 的 证 明 ) 一 书 收录 为 数学 史上 的 经 典 证 明 。( 类 似 的 方法 包括 Cantor 的 对 角 线 反 证 法 ， 
Turing 的 停机 问题 的 不 可 判定 性 ,以 及 Godel 的 不 完备 性 定理 。) 欧 几 里 得 的 (几何 原本 ) 是 西方 数学 公理 化 方法 的 起 
源 和 数学 逻辑 演绎 推导 的 代表 。《 九 章 算术 ) 为 代表 的 中 国 数学 则 是 以 归纳 计算 和 构造 为 主要 方法 。 
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令 r 二 a 一 gb, 则 有 
a = gb+r,0<r<b 
再 证 明 唯一 性 。 如 果 分 别 有 gi , 和 gz ,rz 满足 (1.1) 式 , 则 
a= qb+n, 0<n<b 
a = gb+ rs, 0<r,<b 


两 式 相 减 ,有 
(gq1—q2)b=— (ri—r:) 

当 gn 关 qs 时 ,左边 的 绝对 值 过 2, 而 右边 的 绝对 值 一 0, 这 是 不 可 能 的 。 于 是 ,q 二 gq,， 
ni 二 ro。 证 毕 。 国 

定义 1.3 (1.1) 式 中 的 g 岂 做 a 被 b 除 所 得 的 不 完全 商 ,r 叫做 a 被 5 除 所 得 的 
余数 。 

Euclid 除法 可 以 理解 成 用 一 个 长 度 为 6 的 "尺子 ”去 度量 长 度 ,度量 最 后 剩 下 的 一 
段 r 不 会 大 于 “尺子 ”的 长 度 b。 

Euclid 除法 的 用 途 是 可 以 将 两 个 数 之 间 整 除 关系 的 判定 问题 转化 为 计算 问题 。 判 断 
a 是否 能 被 非 零 整数 整除 的 充 要 条 件 是 a 被 5。 除 所 得 的 余数 "一 0。 

通常 ,0 三 r 过 5b, 这 时 7 叫做 最 小 非 负 余数 ;但 在 有 些 时 候 通 过 “平移 ”( 即 调整 不 完全 
商 的 大 小 ,一 般 是 加 1) ,可 以 将 + 调整 为 |r| 志 5b/2, 这 时 7 叫做 绝对 值 最 小 余数 , 它 在 后 面 
介绍 的 Euclid 算法 中 ( 见 例 1. 8) 能 起 到 算法 加 速 的 作用 。 

思考 1.2 令 b=7, 则 最 小 非 负 余数 为 多 少 ? 绝对 值 最 小 余数 为 多 少 ? 

解答 : r= 二 0,1,2,3,4,5,6 为 最 小 非 负 余数 ; 

7 一 一 3, 一 2, 一 1,0,1,2,3 为 绝对 值 最 小 余数 。 

定义 1.4( 公 因子 ) 设 aa,…'a 是 zz 二 2) 个 整数 。 若 整数 d 是 它们 中 每 一 个 数 的 
因数 ,那么 & 就 叫做 a ,…,as 的 一 个 公约 数 ( 也 叫 公 因 数 ) 。 

d 是 ci,…',an 的 一 个 公 因数 的 数学 表达 式 为 ; 

da dla。 

如 果 整 数 ci ,… ,a, 不 全 为 零 , 那 么 ma,…'a 的 所 有 公约 数 中 最 大 的 一 个 公约 数 叫 
做 最 大 公约 数 (Greatest Common Divisor) , 记 作 gcd(al ,as) 或 (ol an)。 

特别 地 , 当 (a ,… ,av) 王 1, 称 (ai,… ,as) 互 素 或 互 质 。 

最 大 公约 数 的 等 价 定义 为 ， 

d>0 是 a,…,as 的 最 大 公约 数 的 数学 表达 式 可 以 表述 为 : 

(1) dla ,dlas。 

(2) 车 elal,…,ela,, 则 eld。 

条 件 (1) 说 明 d 是 公约 数 ;条 件 (2) 说 明 d 在 公约 数 中 最 大 。 

下 面 的 定理 给 出 了 最 大 公约 数 的 另 一 个 等 价 定 义 : 

定理 1.7 a,6b 是 不 全 为 零 的 整数 ,a,b 的 最 大 公约 数 d 二 (a.0) 是 集合 

{satib | ss z€E 2} 
中 的 最 小 正 整 数 。 
证 明 : 令 集 合 ({sa 十 tb1s,t+€E2) 中 最 小 的 正 整 数 为 m。 下 面 证 明 m= 二 4d, 方 法 是 先 证 明 
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dlm, 再 证 明 mld。 

一 方面 ,因为 4 二 (a,b), 于 是 dla,d15, 由 定理 1.3,dlsa 十 6,s,t1E€2Z, 于 是 dim。 

另 一 方面 ,由 带 余 除 法 知 ,存在 整数 Gi»qz sr or ,使 得 

a 二 qm 十 1，6b 二 qam 十 r; ,其 中 0<ri ,rs 二 m 

易 知 ,ri ,rs€E {sat+tb1s,tEZ), 由 于 m 是 该 集合 中 的 最 小 正 整数 , 故 二 7 二 0, 即 
mla,ml1b, 由 最 大 公约 数 的 定义 知 ,mld。 

综合 dlm,mld, 且 均 为 正 整数 ,有 m= 二 d。 证 毕 。 国 

定理 1.7 从 线性 组 合 的 角度 来 考查 最 大 公 因 子 。 如 果 从 几何 的 角度 来 观察 ,这 可 以 
视 为 y 二 x 斜 线 与 格子 割 线 中 那个 最 短 的 线段 。 例 如 图 1. 1 中 斜 线 下 方 c 上 方 第 一 个 线 
段 对 应 的 值 为 ec 一 20, 斜 线 下 方 24 上 方 线段 对 应 的 值 为 2x 一 420。 因 此 ,(a,O) 也 可 以 视 为 
利用 长 度 为 a 和 wb 的 两 把 “尺子 ”可 以 “丈量 ”的 最 小 长 度 。 


3b-a 2a-3b y=x 


一 一 一 


一 
0 a 20 34 44 工 


图 1.1 a,b 的 线性 组 合 


推论 1.1 a,b 是 不 全 为 零 的 整数 ,a,b 的 最 大 公约 数 d 二 (a.b) ,集合 
{sattwbl|s,tEZ} 

由 4d 的 所 有 倍数 组 成 。 

这 再 一 次 说 明了 d 是 长 度 为 a 和 2 的 “尺子 ”组 合 起 来 可 以 “丈量 ”的 “最 小 长 度 单 
位 "”。 有 了 这 个 “单位 长 度 ”, 则 可 以 “反复 ”丈量 出 其 他 长 度 。 

定理 1.8 设 a,b 为 不 全 为 零 的 整数 , 则 

方程 ax 十 by 二 c 有 整数 解 , 当 且 仅 当 cE {azr 十 bylz,yE2), 即 当 且 仅 当 (a,6)|c。 

该 定理 可 用 于 判定 二 元 一 次 不 定 方程 at 十 by 二 cl(a.b,cEZ) 的 整数 解 是 否 存 在 。 

特别 地 ,车 (a,65) 三 1, 则 存在 整数 xz,y, 使 得 az 十 by 二 1。 

这 一 特例 也 说 明 只 有 当 a 和 2 互 素 时 ,az=1 (mod 5) 才 有 人 解 。 

定理 1.9 设 al,…,a, 是 nn 个 不 全 为 零 的 整数 , 则 

(1) asa 与 |a|,…,|a,| 的 公 因 数 相 同 。 

(2) (al as) 一 (|a| ,|a,|)。 

这 个 定理 将 公 因数 的 讨论 转化 为 在 非 负数 范围 内 讨论 。 

定理 1.10 设 2 是 任 一 正 整数 , 则 (0,0) 一 0。 

平凡 的 求 两 个 整数 最 大 公 因子 的 方法 是 分 别 求 出 两 个 数 的 因子 ,然后 挑 出 它们 中 最 
大 的 公 因子 。 这 种 方法 在 两 个 数 比 较 小 的 情况 下 是 可 行 的 ,但 是 当 两 个 数 比较 大 时 ,分 解 
其 因子 是 十 分 困难 的 ,而 且 这 个 方法 的 效率 不 高 ,因此 , 求 两 个 整数 的 最 大 公 因 子 需 要 寻 
找 更 好 的 办 法 。 
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定理 1.11 设 a,b,r 是 三 个 不 全 为 零 的 整数 。 如 果 
a=gb+r 
其 中 g 是 整数 , 则 (a,b)==(65,7) 
证 明 : 令 d==(a,b) ,d= 二 (5,r),dla,d1b, 由 定理 1.3， 
dlat+(—qg)b=r 

于 是 d 是 b,r 的 公 因 数 ,从 而 dd'。 

同 理 ,d' 是 a,b 的 公 因数 ,从 而 改过 < 。 

因此 ,d=d’。 国 

例 1.5 因为 1573 王 5。286 十 143, 所 以 (1573,286) 一 (286,143) 王 143 

以 上 定理 的 用 处 是 : 可 以 将 求 两 个 较 大 数 的 公 因 数 转 化 为 求 两 个 较 小 数 的 公 因数 。 
利用 这 一 思想 ,可 以 得 到 计算 求 最 大 公 因 数 的 方法 。 这 一 算法 称 为 “ 欧 几 里 得 除法 ”, 也 称 
为 “ 力 转 相 除法 ”。 它 可 能 是 世界 上 最 著名 和 最 早 的 算法 。 

从 算法 递归 调用 的 角度 描述 来 定理 1. 12, 就 是 gcd(a,0) 一 gcd(O，a mod b)。 


算法 1.1 Euclid 算法 递归 形式 : 计算 两 个 整数 的 最 大 公 因 子 。 
输入 : 两 个 非 负 整数 ec,0, 且 a 宇 b。( 先 将 待 计算 的 整数 取 绝 对 值 ) 
输出 : a,b 的 最 大 公 因 子 。 
GcD(a,b) { 
Ifb<>0 
Retum GD (b, ampdb)7 
Else 
Return a; 
} 


递归 形式 便于 理解 ,但 不 便于 了 解 算 法 的 实际 过 程 。 下 面 给 出 非 递归 形式 的 Euclid 
算法 。 在 给 出 非 递 归 形 式 之 前 , 先 看 一 个 例子 。 
例 1.6 计算 gcd(4864,3458) 王 38 的 分 解 步骤 。 
解答 ， 
4864 一 1。3458 十 1406 
3458 一 2。1406 十 646 
1406 一 2。646 十 114 
646 一 5。114 十 76 
114 一 1.76 十 38 
76 一 2.38 十 0 


算法 1.2 Euclid 算法 : 计算 两 个 整数 的 最 大 公 因 子 。 
输入 : 两 个 非 负 整数 4a.5, 且 a 宇 b。( 先 将 待 计算 的 整数 取 绝 对 值 ) 
输出 : a,b 的 最 大 公 因 子 。 


GD(a'b) { 
While (tb 过 0) do 
ramdb 
ab 
br 
Retum a 

人 


思考 1.3: 算法 1.2 有 可 能 是 死 循环 


吗 ? 


算法 1. 2 中 的 循环 会 结束 (不 会 是 死 循环 ) ,因为 逐步 在 减 小 ,最 终 变 为 0( 从 而 退 


出 循环 ) 。 
例 1.7 用 算法 1. 2 计算 gcd(169， 
解答 : 
169 
12 
48 
25 
23 
六 三 流 


hd 


121) 王 1 的 分 解 步骤 。 


1。121 十 48 
2。48 十 25 
W2523 
ls23T2 
ost 
“二 0 


如 果 利 用 绝对 值 最 小 余数 代替 最 小 非 负 余数 ,可 以 对 算法 1. 2 进行 优化 。 请 见 下 面 


的 例子 。 


例 1.8 设 a==46480,.6 二 39423, 计 算 (a,b)。 


解答 : 利用 Euclid 除法 。 

方法 1: 使 用 最 小 非 负 余数 。 
46480 一 1 
39423 一 


7057 三 1 。4138+ 
4138=1 = 29191 
2919==2 。12191 
1219=2% 


481 一 1 
257 = 1 
224 一 6 。 
33=1.2 
26 一 3 .7 
7=1. 5] 
5 一 2 “21 
2 一 2 。 11 


。39423 十 7057 
5。7057 十 4138 
F2919 
F1219 
H+-481 
481 十 257 
。257 十 224 
。224 十 33 

33 十 26 

6 十 了 

十 5 

上 2 

上 1 

上 0 
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方法 2: 使 用 绝对 值 最 小 余数 。 
46480 一 1。39423 十 7057 
39423 一 6。7057 一 2919 
7057 一 2。2919 十 1219 
2919 一 2。1219 十 481 
1219 一 3。481 一 224 
481 一 2。224 十 33 
224 一 7。33 一 7 
33 一 5。7 一 2 
7 王 3。2 十 1 
2 一 2。1 十 0 


所 以 (46480,39423) 王 1。 


容易 看 到 ,方法 2 要 比方 法 1 运算 次 数 少 一 些 , 所 以 绝对 值 最 小 余数 方法 可 以 加 快 计 


算 ,减少 计算 时 间 。 


让 扩展 的 Euclid 算法 


下 面 的 推导 给 出 了 Euclid 算法 的 一 个 严格 证 明 。 
设 ", 是 任意 两 个 正 整数 。 记 一 :一 <,r-: 一 入 反复 运用 带 余 除法 ,有 : 


r= go 十 mm 0<rn<r 
ri 二 gliro 十 门 0<n<n 
mo 一 gntrs 0<ri<n 


Tr3 一 driTn2 ti 0 
Le i a ee a ee 


rei 一 Gahira 二 Tran meH 一 0 


(la 


容易 看 到 ,上 述 过 程 为 从 数列 王 :， ri， ro， 疡 ，…m 从 前 两 项 依次 求 出 第 三 项 ,直到 


最 后 一 项 的 过 程 。 有 


(a.b) (rs sr71) (rsro) 0 (rr (rasrnti) (ras0) 


如 果 将 这 一 过 程 反 方向 写 出 ,有 : 
Ta Tn-2™ dnrn—l 


Tl Ta-3 Gdn-i?Tn—2 


rz ro qani 
nn 二 ri qiro 


1o 一 7-2 qor-i 


rh 


即 ,一 ，r~-:,…，r， ro 中 每 一 项 均 可 以 用 后 两 项 表示 。 于 是 一 可 以 用 -~-:,r-: 表 示 ， 
即 可 以 找到 整数 ;,t, 使 得 
sa 二 t=r= (a,b) 
例 1.9 a==169, 56 二 121, 求 整 数 s,t, 使 得 sa 十 16 = 二 (a.,6)。 
解答 : 将 例 1.7 的 过 程 反 过 来 写 , 有 
1 一 23 一 11。2 
= 23— ll (25— 1.23) 
一 一 11。25 十 12。(48 一 1。25) 
= 一 12。48 一 23。(121 一 2。48) 
一 一 23。121 十 58。(169 一 1。121) 
一 58。169 一 81。121 
因此 ,整数 ;=58,t= 一 81, 满 足 sa 十 b= (a,b)。 
下 面 推导 一 个 算法 ,用 于 在 给 定 a 和 4 情况 下 计算 s 和 t+, 使 得 sa 十 区 二 (a,5)。 该 算 
法 具有 重要 的 应 用 ,如 当 a,b 互 素 时 ,可 求 出 s 来 ,满足 sa 十 必 二 1, 即 sa 二 1 (mod 5b)。 
(第 6 章 将 会 介绍 ,; 在 Z，" 的 乘法 群 中 称 为 a 的 乘法 逆 元 。) 这 一 算法 通常 称 为 “扩展 的 欧 
几 里 得 ”(Extended Euclid) 算 法 。 
在 给 出 具体 算法 之 前 ,首先 观察 和 分 析 计算 中 存在 的 递 推 关 系 。 
定理 1.12 设 ,是 任意 两 个 正 整数 , 则 


sna 十 10 = (a,b) (1.3) 
对 于 j= 二 0,1,…,n 一 1, 这 里 5; ,4 归纳 地 定义 为 
Sz l, si = 0, s; = sj 一 qjsi 
ts =0 t=l, t=ts gt j=0,1,2,.% nn— ln (1.4) 


其 中 gj; 二 [xj-z/rj-1j 是 (1.2) 式 中 的 不 完全 商 。 
( 设 zxER,[z] 表 示 不 超过 z 的 最 大 整数 , 称 作 实数 zx 的 整数 部 分 。) 
证 明 ”只 需 证 明 : 对 于 j= 一 2, 一 1,0,1,*…,n 一 1 
Satb = or; (1.5) 

其 中 二 7j-2 一 qjrj-1 是 (1.2) 式 中 的 余数 。 因为 (a.0)==x, ,所 以 

Sa 十 tp = (a,b) 
对 7 用 数学 归纳 法 来 证 明 (1.5) 式 。 
j 二 一 2 时 ,有 s-s 二 1,t-s 二 0 以 及 

s-za 十 t_-20=a=r-_; 
(1.5) 式 对 于 j= 一 2 成立。 
j 二 一 1 时 ,有 s-1 二 0,t_1 二 1 以 及 


sa 十 t_-16=6b=r_i 


(1.5) 式 对 于 j 二 一 1 成 立 。 
假设 (1.5) 式 对 于 一 2 三 j 三 & 一 1 成立, 即 
sa ttb= 


对 于 7 一 A, 有 
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Te Taz qere-l* 
利用 归纳 假设 ,得 到 
r= (st2Q tab) — gr (senat tb) 


= (CS 一 Qi)a 十 (ts 一 Qt)0 


一 sktd 十 10 
因此 ,(1.5) 式 对 于 j 一 人 也 成 立 。 
根据 数学 归纳 法 ,(1.5) 式 对 所 有 的 j 二 一 2, 一 1,0,1,…,n 一 1 成 立 。 国 


有 了 关于 * 的 递 推 关系 ;; 二 s;-s 一 gjs;-1 以 及 关于 + 的 递 推 关系 4; 二 ty-s 一 gjt;-1, 便 可 
以 求 出 最 终 需 要 的 s 和 4, 即 s, 和 z,。 

下 面 根据 定理 1. 13 设计 一 个 算法 :假设 a 和 4 是 不 全 为 零 的 非 负 整数 ,计算 ;,t 使 得 
sa+tb= (a,b)., 

首先 , 令 


(1) 如 果 r-_, 二 0, 则 令 
否则 ,计算 
go=[r-z/r-i1], 1 一 /一 2 9go7 一 ! 


(2) 如 果 二 0, 则 令 


否则 ,计算 


以 及 
qi1=[r-i/ro], nr qr 
(3) 如 果 x 二 0, 则 令 
5 一 So，t 一 加 
否则 ,计算 
SI 一 3S-1 一 gl13o， ti=t-i—qito 
以 及 


9 一 [ro/r]， 12 一 ro 9g2z 门 
十 DD 车-1 二 00 宇 3) , 则 令 
否则 ,计算 


以 及 


g;=[ri-z /ri)s r= gr 
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最 后 ,一 定 有 ~+: 王 0。 这 时 , 令 


总 之 ,可 以 找到 整数 ;,t, 使 得 
sat+itb=r,= (a,b) 
将 上 述 推导 过 程 写 成 如 下 算法 : 


算法 1.3 Extended Euclid 算法 。 
输入 : 两 个 非 负 整数 ,wa,0, 且 a 宇 b。 
输出 : gcd(e,0) ,以 及 满足 sa 十 b= 二 gcd(a.0) 的 整数 s .1。 


Extendedeuclid(a,b) { 

BR,5,T) (al0)7 

BR',S',T") (bb,0,1); 

While(R' 隆 0) go { 
q[R/R']; 
(Tenpl, Tenp?, Tenp3)<— Br R's- 中 Tc) 
(RS,T)< BR',S',T') 
(BR',S',T')< (Tenpl, Temp?, Termp3) 

} 

Retum R,S, T; 

} 


例 1.10 写 出 Extended Euclid 算 法 的 计算 过 程 , 设 4 二 1859, 5 二 1573, 计 算 整 数 ;， 
t, 使 得 sa 十 b= (a,b)。 
解答 : 将 算法 写成 表格 形式 


Rz0? | 9 R 尺 S 区 
a-1859 |,b=1573 | 1 |,0 | 0 
Yes 1 377 286 0 7 1 1 7 -1l 
Yes 5 | 286 7, 143 17,-5 | -4,6 
Yes 和 BA @ [7 1 | 4- 
No | 
返回 值 


因此 ,* 一 一 5,t 一 6, 使 得 
(一 5)。1859 十 6。1573 一 143 

思考 1.4: 算法 1.2 和 1.3 的 区 别 。 

算法 1. 3 中 引入 两 个 关于 s 和 + 的 递 推 关 系 。 在 计算 7 的 递 推 关 系 求 出 (a,5) 的 同 
时 ,也 计算 了 所 需要 的 和 +t, 因此 , 称 为 “扩展 的 "Euclid 算法 。 

值得 强调 的 是 ,在 实际 中 扩展 的 Euclid 算法 主要 是 用 于 求 乘法 逆 元 。 例 如 ,假设 0 到 
Ms 当 (m,0) 二 1 时 ,sm 十 tb 三 Ca:0) 二 1, 因 此 .tb 二 1 (mod m)。 于 是 找到 了 +, 这 是 5 在 
Z,。 的 乘法 群 中 的 乘法 逆 元 (第 6 章 将 介绍 群 的 概念 ) 。 为 表达 规整 ,算法 中 重新 使 用 了 
不 同 的 变量 名 和 编排 。 见 算法 1. 4: 
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算法 1.4 Extended Euclid 算法 求 逆 元 。 
输入 : 两 个 非 负 整数 ,mm ,0, 且 mm 二 2。 
输出 ;5b 在 Z。 中 的 乘法 逆 元 。 


Extendedeuclid tm,b) { 
1 ALR2,R3)< (1,0,m; (Bl,B2,B3)< (0,1,b); 

2 If B3- 0 Retum "No Inverse'; 

3 If B31 Retum Bp2; 

4Q [as/B3]; 

5 (Terpl, Tenp?, Tenp3)<— (AL- CB1, 22- QB2,R3- QB3) 
6 (ALR2,R3)<- (B1,B2,B3) 

7 (B1,B2,B3)<— (Tenpl, Tenp2, Tenp3) 

8 Goto 2 

} 


1 ”算术 基本 定理 


在 给 出 算术 基本 定理 之 前 ,简单 介绍 一 下 最 大 公约 数 和 最 小 公 倍 数 的 性 质 。 
定理 1.13 设 a,b 是 任意 两 个 不 全 为 零 的 整数 ， 
(1) 车 mm 是 任 一 正 整数 , 则 (am,bm) 二 (a,b)m 
(2) 若非 零 整数 d 满足 dla.d15, 则 (a/d,5b/d) 二 (a.b)/d。 特 别 地 ， 
(a/(a.b),b/(a.b))=1 
定理 1.14 设 al,…,a, 是 nn 个 整数 ,上 且 aa 天 0。 令 
(al az) 一 do (ds as) 一 da (di as) 一 dd 


则 (ao as) 一 d 。 


该 定理 说 明 多 个 整数 的 公约 数 可 以 通过 逐个 计算 得 到 。 

定理 1.15 设 abwc 是 三 个 整数 ,b 隆 0,c 取 0, 如 果 (a,c) 二 1, 则 
(ab,c)= (b,c) 

定理 1.16 设 p 是 素数 ,车 plab, 则 pla 或 p16。 

定理 1.17 设 wm ,…',a, 是 nn 个 整数 。 如 果 (a;,c)==1,1 二 i<n, 则 
Carasse)=1 


定义 1.5( 最 小 公 倍数) 设 al,….a, 是 nn 个 整数 。 若 m 是 这 个 数 的 倍数 , 则 mx 叫 


做 这 个 数 的 公 售 数 。ai,…,as 的 所 有 公 倍 数 中 的 最 小 正 整数 叫做 最 小 公 倍数 , 记 作 


[a ， 


ai]; 

m 王 [ar，*… oa] 的 数学 描述 是 : 

(1) am ,a, |mo 

(2) 车 a lm ,asm , 则 m1m 。 

定理 1.18 设 a.b 是 两 个 互 素 的 正 整 数 , 则 


游 
志 


(1) 车 alm,blm,; 则 ablm; 
(2) [4,6]=ab。 
定理 1.19 设 a.b 是 两 个 正 整 数 , 则 
(1) 车 alm,blm; 则 [a,b]|m; 
(2) [a,6]=ab/(a,b)。 
定理 1.20 设 aa ,…',a, 是 7 个 整数 , 且 ww 天 0。 令 
[ai yas ]=ms ,Lmz yas] 王 zs, Lm ra. =m 
则 [a ,a ]=m, 。 
定理 1.21( 算 术 基 本 定理 ) 任 一 整数 ">1 都 可 以 表示 成 素数 的 乘积 , 且 在 不 考虑 
乘积 顺序 的 情况 下 ,该 表达 式 是 唯一 的 , 即 
n= pp:, Pi <p, 
其 中 户 是 素数 , 且 若 
n= gg < Sg 
其 中 g; 是 素数 , 则 
s=t, pi=qi, 1<i<s 
算术 基本 定理 的 “基本 ”在 于 将 任意 整数 用 素 因 子 乘积 进行 了 表示 ,从 而 将 对 任意 整 
数 的 性 质 的 研究 转化 为 对 其 素 因 子 的 性 质 进 行 研究 。 这 为 研究 整数 的 性 质 提供 了 一 个 具 
有 效率 的 做 法 。 
定理 1.22 任 一 整数 n>1 可 以 唯一 地 表示 成 
n= pnp, a>0, i=1,,s 
其 中 pi 二 pj(i<=j) 是 素数 。 该 式 叫 整 数 的 标准 分 解 式 。 
有 了 算术 基本 定理 ,整除 .最 大 公约 数 、 最 小 公 倍 数 的 求解 变 得 直观 了 。 
定理 1.23 设 是 一 个 大 于 1 的 整数 , 且 有 标准 分 解 式 
n=piip”, a>0, i=1,.,s 
则 4 是 的 正 因数 当 且 仅 当 d 有 因数 分 解 式 
n= pps, a 之 B>0, i=1,,s 
定理 1.24 设 a,b 是 两 个 正 整 数 , 且 都 有 因数 分 解 式 
a= pnp, a>0, i=1,,s 
b= pp, B20, i= ls 
则 a,b 的 最 大 公 因 数 和 最 小 公 倍数 分 别 有 因 数 分 解 式 
(a,b) = PI™™ 1 oo p,min (es 
[a,6] ce Pa (1B) oo po sh) 
推论 : 设 a,b 是 两 个 正 整 数 , 则 
[ae,b](a,p) 一 ob 
因为 对 任意 整数 ,8, 有 
min(a,B) + max(a.B) 一 ac 十 B 
例 1.11 求解 (45,100) 和 [45,100] 
解答 : 易 知 
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45 一 20。32。51 
100=2? 。3° 。5? 
由 定理 1. 24 可 知 ， 
(455100) 三 2 35 三 5 
[45,100]= 22。32。52 一 900 


证 明 : 若 2lz, 51n, 71n, 那 么 701n。 
设 2EZ, 证 明 : 6| (ns 一 n)。 
对 每 一 个 奇数 ,证 明 : 8| (x 一 1)。 
利用 类 似 于 定理 1.4( 反 证 法 ) 和 定理 1.5( 构 造 法 ) 的 方法 证 明 : V2 为 无 理 数 。 
手动 方式 求 最 大 公 因数 : (55,85)，(202,282) 。 编 写 程序 : Euclid 除法 算法 计 
算 (a,b) ,进行 验证 。 

[6] 手动 方式 求 5,1, 使 得 ve 十 好 一 Ce ,0)， 其 中 (o ,0) 为 (202,282)，(1613,3589) , 编 
写 程序 : 扩展 的 Euclid 算法 求 ye 十 蕊 = (oa ,0) ,进行 算法 验证 。 
[7] 编写 程序 : 利用 Eratosthenes 得 法 产生 10000 以 内 素数 。 
[8] 形 为 M =2* 一 1 的 素数 叫做 Mersenne 素数 (梅森 素数 ) ,这 里 p 为 素数 。 给 出 
一 个 计算 机 程序 求 前 5 个 梅森 素数 。 
[9] 形 为 F, 二 2” 十 1 的 素数 为 Fermat 素数 ( 费 马 素数 ) ,给 出 一 个 计算 机 程序 证 明 
F ,下 ,下 ,下 都 是 素数 。 

提示 : 可 下 载 纽约 大 学 的 NTL 算法 库 , 或 关注 GIMPS 网 址 , http://www 
. mersenne. org/download/freeware. php, 截 至 2014 年 2 月 ,已 知 的 梅森 素数 共有 48 个 。 
从 1997 年 至 今 ,所 有 新 的 梅森 素数 都 是 由 互联 网 梅森 素数 大 搜索 (GIMPS) 分 布 式 计算 
项 目 发 现 的 (http://zh. wikipedia. org/wiki/ 梅 森 素数 ) 。 

[10] 编写 程序 对 挛 生 素数 的 猜想 进行 实验 验证 。 

[11] 编写 程序 对 哥 德 巴赫 猜想 进行 实验 验证 。 

[12] 编写 程序 对 3z 十 1 猜想 进行 实验 验证 。 
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本 章 介绍 整数 的 另 一 个 重要 的 二 元 关系 一 一 同 余 。 
本 章 重点 是 同 余 类 、 简 化 剩余 系 、 欧 拉 函 数 , 难 点 是 同 余 的 应 用 。 


2.1 同 余 和 剩余 类 


同 余 的 概念 是 通过 整除 关系 给 出 的 。 
定义 2.1 给 定 一 个 正 整数 ,如 果 两 个 整数 a,b, 有 mla 一 b, 则 a,b 模 m 同 余 , 记 作 
a 三 b (mod m) ;否则 ,a,b 模 m 不 同 余 , 记 作 a 关 4b (mod m)。 
下 面 的 定理 给 出 了 同 余 关 系 的 等 价 表达 形式 ,即将 同 余 关 系 表达 成 一 个 等 式 。 
定理 2.1 设 m 是 一 个 正 整 数 ,a,b 是 两 个 整数 , 则 
a 三 b (mod m) 
的 充 要 条 件 是 存在 一 个 整数 人 ,使 得 a=6b 十 km。 
下 面 的 定理 说 明 同 余 是 等 价 关 系 。 
定理 2.2 设 m 是 一 个 正 整 数 , 则 模 m 同 余 是 等 价 关 系 , 即 
(1) 自 反 性 ,对 任 一 整数 a,a 三 a (mod m) 
(2) 对 称 性 , 若 4 三 b (mod mm) , 则 b 夺 a (mod m) 
(3) 传递 性 ,车 a 硅 b (mod m), b 硅 c (mod m), 则 a 三 c (mod m) 
定理 2.3 设 m 是 给 一 个 正 整数 ,al,a2.b1,b2 是 四 个 整数 ,如 果 
al=bl] (mod m) 
a2 三 b2 (mod m) 
则 有 
al+a2 三 bl +b2 (mod m) 
ala2=b162 (mod m) 
该 定理 说 明 同 余 关 系 对 于 加 法 和 乘法 是 “保持 ”的 。 
定理 2.4 设 交 是 一 个 正 整数 ,ad 三 bd (mod m) ,如果 (4d,m) 二 1, 则 
a 三 b (mod m) 
该 定理 说 明了 同 余 关 系 的 “消去 ”原则 是 消去 值 与 模 互 素 。 
定理 2.5 设 交 是 一 个 正 整 数 ,a 三 b (mod m) ,如果 整 数 d|(a.b,m), 则 
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定理 2.6 设 交 是 一 个 正 整 数 ,a 三 bp (mod m) ,如 果 整 数 dlm, 则 
a 三 b (mod d) 

上 述 定 理 的 证 明 比 较 简单 . 留 作 练习 。 

例 2.1 已 知 2015 年 5 月 4 日 是 星期 一 , 问 从 该 天 算 起 ,第 2 天 是 星期 几 ? 

解答 : 2 二 8 圭 1 (mod 7) ,因此 ,第 8 天 相当 于 第 1 天 。 

2015 二 3X671 十 2,2”5 二 (23) 呈 X22 二 4 (mod 7), 即 第 225 天 就 相当 于 第 4 天 ,为 星 
期 五 。 

因为 整数 同 余 关 系 是 一 种 等 价 关 系 , 因 此 全 体 整 数 可 以 按照 模 m 是否 同 余 划分 成 若 
干 两 两 不 相交 的 集合 ,使 得 每 一 个 集合 中 的 任意 两 个 整数 模 m 一 定 同 余 , 而 属于 不 同 集 
合 的 任意 两 个 整数 模 m 不 同 余 。 

设 m 是 一 个 正 整 数 , 对 任意 正 整 数 4, 令 

Ca={c|c€EZ,c=a (mod m)} 

Ca 是 非 空 集合 ,因为 a€ Ca。 

定义 2.2 Ca 叫做 模 mm 的 a 的 剩余 类 。 一 个 剩余 类 中 的 任 一 数 叫做 该 类 的 剩余 或 
代表 元 。 若 ow，… ,ri 是 m 个 整数 , 且 其 中 任何 两 个 数 都 不 在 同一 个 剩余 类 里 , 则 xo， 
mo 叫做 模 六 的 一 个 完全 剩余 系 。 完 全 剩余 系 0,1,2,…,m 一 1 称 为 最 小 非 负 完 
全 剩余 系 。 

模 m 的 剩余 类 通常 写成 

Z/mZ={Co C1 C1}={Cal0Sam—1)} 
特别 的 , 当 m 三 p 为 素数 时 ,也 写成 
F,=2Z/pZ= {Co ,C1,""*,C, 1}={Cal0O<a<p—1)} 
C; 也 可 以 记 为 [让 。。 
例 2.2 取 =7, 则 模 wm 的 剩余 类 为 : 
Co 一 [0], 王 {(…, 一 14, 一 7.0.,7,14,… 


} 
G=[1],={",—13,—6,1,8,15,.} 
C: 一 [2]; 一 {…,，, 一 12, 一 5,2,9,16，…) 
Gs=[3];={*,—11,—4,3,10,17,.…} 
C=[4]: ={*…,—10,—3,4,11,18,.…} 
Cs=[5];={*…,—9,—2,5,12,19,.)} 
Ce 一 [6], 一 {(…， 一 8, 一 1,6,13,20，…)} 

一 14, 一 6,2,10,18,19,20 是 模 7 的 一 组 完全 剩余 系 。0,1,2,3,4,5,6 为 模 7 的 最 小 
非 负 完全 剩余 系 。 


通常 情况 下 ,可 用 Z。 表示 m 的 最 小 非 负 完全 剩余 系 集合 , 即 Z, 三 {0,1,2,…,m 一 
1} 。Z。 中 的 加 法 和 乘法 都 是 模 m 意义 上 的 加 法 和 乘法 运算 。 

根据 * 抽 层 原 则 ”, 可 以 得 到 如 下 完全 剩余 系 的 判定 方法 : 

定理 2.7 设 m 是 正 整 数 , 则 xm 个 整数 a1,as,… ,a 为 模 m 的 一 个 完全 剩余 系 的 充 
要 条 件 是 它们 模 m 两 两 不 同 余 。 

下 面 给 出 一 个 完全 剩余 系 的 构造 方法 : 
18 
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定理 2.8 设 m 是 正 整 数 ,整数 a 满足 (a,m) 二 1,6 是 任意 莹 数 。 若 x 遍历 模 m 的 
一 个 完全 剩余 系 , 则 az 十 b 也 遍历 模 m 的 一 个 完全 剩余 系 。 

证 明 ; 设 ,as,… ,a 为 模 m 的 完全 剩余 系 ,由 完全 剩余 系 的 定义 ,这 组 整数 模 思 
两 两 不 同 余 。 需 要 证 明 的 是 aa 十 b,aaz 十 5,… ,aan 十 b 也 是 模 m 的 一 组 完全 剩余 系 。 只 
需要 证 明 这 m 个 数 模 x 两 两 不 同 余 即 可 (这 里 用 到 * 抽 屋 原则 ”) 。 若 存在 w 和 wj 天) 
使 得 

aai+b=aa; +b (mod m) 
则 有 mlala; 一 aj), 由 于 (aym) 二 1, 所 以 aj 二 aj (mod m)。 这 与 a1,as，…,as 模 m 两 两 不 
同 余 矛 盾 。 因 此 ,aai 十 ,aas 十 0,… ,aas 十 b 模 wm 两 两 不 同 余 。 国 
定理 2.7 中 取 特 例 4 一 0, 说 明 aa ,aas，,…,aa, 也 是 模 m 的 一 组 完全 剩余 系 。 于 是 ， 
aai 必然 有 且 仅 有 一 个 数 为 1。 于 是 可 引出 如 下 概念 。 
定义 2.3 设 灵 是 一 个 正 整数 ,o 是 一 个 整数 ,如 果 存 在 整数 "使 得 
aa’=1 (mod m) 
成 立 , 则 a 叫做 模 m 的 可 北 元 ,a 叫做 a 的 模 mm 逆 元 。 
根据 定理 2. 8, 在 模 m 的 意义 下 ( 即 m 的 完全 剩余 系 中 ) .a 是 存在 且 唯 一 的 。 
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在 模 m 的 一 个 剩余 类 中 ,如 果 有 一 个 数 与 m 互 素 , 则 该 剩余 类 中 所 有 的 数 均 与 
互 素 。 

定义 2.4 一 个 模 m 的 剩余 类 叫做 简化 剩余 类 ,如 果 该 类 中 存在 一 个 与 m 互 素 的 
剩余 。 

模 mm 的 简化 剩余 类 的 全 体 所 组 成 的 集合 写成 : 

(Z/mZ)"* ={Cal0<a<m—1,(a.m)=1} 
特别 地 , 当 m 二 pp 且 为 素数 时 ,也 写成 
F,* =(Z/pZ2)"* ={C,.% ,Cs 1)={Call<a<p—1}=F,\{(Co) 

例 2.3 设 m=12, 则 模 m 的 简化 剩余 类 为 {Ci ,Cs ,Ci ,Cn } 。 

例 2.4 设 w=7, 则 模 m 的 简化 剩余 类 为 {Ci,C; ,Cs ,Cs ,Cs ,Cs)。 

定义 2.5 设 m 是 一 个 正 整 数 ,在 模 m 的 所 有 不 同 简化 剩余 类 中 ,从 每 个 类 任 取 一 
个 数组 成 的 整数 的 集合 ,叫做 模 m 的 一 个 简化 剩余 系 (Reduced Residue)。 有 的 书籍 也 称 
之 为 既 约 剩余 系 、. 缩 剩余 系 、 缩 系 。 

例 2.5 设 m 二 12, 则 1,5,7,11 构成 模 12 的 简化 剩余 系 。 

例 2.6 设 m=7, 则 1,2,3,4,5.6 构成 模 7 的 简化 剩余 系 。 

定义 2.6 设 交 是 一 个 正 整数 , 则 m 个 整数 0,1,…,m 一 1 中 与 mr 互 素 的 整数 的 个 
数 , 记 为 @(z)。 叫 做 欧 拉 (Euler) 函数 。 

显然 , 模 m 的 简化 剩余 类 的 个 数 为 @(z) , 即 |(Z/z2) "|= 二 Bl(m)。 模 mm 的 简化 剩余 
系 的 元 素 个 数 为 @(m)。 
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与 定理 2.7 类 似 , 如 下 定理 给 出 了 简化 剩余 系 的 判定 方法 。 

定理 2.9 设 六 是 正 整 数 , 则 @(z) 个 整数 wa ,aa ,…:aeo 为 模 疡 的 一 个 简化 剩余 系 
的 充 要 条 件 是 它们 与 mr 互 素 , 且 模 m 两 两 不 同 余 。 

与 定理 2.8 类 似 , 有 如 下 定理 给 出 简化 剩余 系 的 构造 方法 : 

定理 2.10 设 m 是 正 整 数 ,整数 a 满足 (a,m) 二 1。 若 工人 遍历 模 m 的 一 个 简化 剩余 
系 , 则 az 也 遍历 模 m 的 一 个 简化 剩余 系 。 

证 明 : 因为 (a,m)= 二 1,(z,m) 二 1, 于 是 (ar,m) 二 1。 故 ax 为 m 的 简化 剩余 类 的 剩 
余 。 然 后 只 需要 证 明 ua ,aas,…,aagow 这 B(m) 个 数 模 mm 两 两 不 同 余 即 可 。 若 存在 a; 
和 aj ,i 考 j ,使 得 

aai=aaj (mod m) 

则 有 xla(ai 一 aj), 由 于 (4a,m) 二 1, 所 以 a; 三 aj (mod m)。 这 与 a1 ,as，…,aoww 模 m 两 两 
不 同 余 矛 盾 。 因 此 ,az 也 遍历 模 的 一 个 简化 剩余 系 。 国 

例 2.7 设 m=7,a 为 与 m 互 素 的 整数 ,x 遍历 模 m 的 简化 剩余 系 ,计算 cz (mod 
m) 可 得 到 下 表 , 从 表 中 可 见 : ez 也 遍历 模 m 的 一 个 简化 剩余 系 。 


RS 2 3 4 5 6 
1 2|3|4|s5|s 
2|2|14|1611 3 | 5 
医 可 区 济 柜 医 : 1 | 4 
4 | 4 1|5|2|6|s 
医 司 攻 : 1|6|4|1: 
GG | | 


定理 2. 10 再 一 次 说 明了 a 的 逆 元 是 存在 且 唯 一 的 。( 第 6 章 将 会 看 到 ,这 个 表 也 构 
成 了 一 个 乘法 群 中 的 运算 表 。) 

下 列 定理 说 明 Euler 函数 是 乘 性 函数 。 

定理 2.11 设 m,n 是 互 素 的 两 个 正 整 数 , 则 

Dmn) = Bm) Bn) 

例 2.8 @B(77)= @(7)$(11)=6. 10=60。 

例 2.9 @(30)= @(2)®(3)8(5)=1. 2.4=8, 

定理 2.12 设 正 整 数 m 的 标准 分 解 式 为 


n= [|p° = pr psp 
pln 


1 1 1 
人 "ll ( x "(1 sl ps: a 辣 
证 明 : 当 m= 二 pr 时 , 模 m 的 完全 剩余 系 {0,1,…, p" 一 1) 的 pr" 个 整数 中 ,与 p 不 互 素 
的 只 有 zp 的 倍数 ,共有 jp 个 ,因此 ,与 p* 互 素 的 数 共 有 p' 一 p”! 个 数 , 即 
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则 


Dp)= Pp —p = pm—1/p) 
由 定理 2.11， 
DBO)= Bp ) Bps® ) eB pe) 
= pu(1—1/p) pr (1—1/p)…p (1— 1/p:) 
=Nn(l— /pl /py (1 — 1/p) 国 
例 2.10 计算 B(120)。 
120 = 22 »3%5;8(120)= 120 (1—1/2)% 1 一 1/3) (1—1/5)=32 
先 考查 如 下 例子 ,看 能 否 归纳 出 一 般 规律 。 
例 2.11 设 m=12,8B(12) 二 4。1,5,7,11 构成 模 12 的 简化 剩余 系 ,(5,12)==1, 因 
此 ,5，1,5。，5,5。7,5。11 也 构成 模 12 的 简化 剩余 系 。 计 算 可 知 
5。 1 三 5 (mod 12) 
5°+ 5 二 1] (mod 12) 
5*»7==11 (mod 12) 
5 .+ 11 二 7 (mod 12) 
将 上 面 4 个 式 子 的 左边 相 乘 ,由 定理 2. 3, 可 得 
(5。1)(5。5)(5。7)(5。11)=5。1 .11 .7 (mod 12) 


即 
54。(1。5 .7 .11) =5.1.11.7(mod 12) 
由 于 (1。5。7。11,12)==1, 因 此 ,由 定理 2.4 知 ,5: 寺 1 (mod 12) , 即 
5°%2=] (mod 12) 
思考 2.1 仔细 观察 上 述 计算 过 程 ,然后 尝试 给 出 其 他 的 例子 ,看 能 否 归纳 出 一 般 
情况 。 
定理 2.13 (Euler 定理 )。 设 m 是 大 于 1 的 整数 ,如 果 a 是 满足 (em )=1 的 整 
数 , 则 
a®™® = 1 (mod m) 
证 明 : 设 ,ro,… ,re 是 模 m 的 一 组 简化 剩余 系 ,根据 定理 2. 10 
ari, drs s,s, Ure m) 


也 是 模 m 的 一 组 简化 剩余 系 ,因此 


ar) ee Car) ee (argow) Er re foo (mod m) 
即 
a oe ra foo) ri ra ro (mod m) 
又 (ri rs rgem sm) 二 1, 所 以 
a®™ = 1 (mod m) 国 


推论 1 (Fermat 小 定理 )。 设 pp 是 一 个 素数 , 则 对 于 任意 整数 a, 均 有 
a? 三 a (mod m) 
证 明 留 做 练习 。 
推论 2 若 p 是 素数 ,a 是 整数 ,上 且 p a, 则 a，a?= 二 1(mod p)。( 即 a*”? 是 a 模 p 
的 逆 元 。) 
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考查 如 下 例子 ,看 能 否 归纳 出 一 般 规律 。 
例 2.12 设 p=17, 是 一 个 素数 ,观察 : 
1.2.3.4.5.6.7.8.9.10.11.12.13.14.。15.16 
一 (2.9)。(3.6).(4.13).(5.7)。(8.15).。(10.12).。(11.14).。(1.16) 
一 1.1.1.1.1.1.1.( 一 1) 
一 一 1 (mod 17) 
思考 2.2 ”仔细 观察 上 述 计 算 过 程 , 然 后 尝试 给 出 一 个 类 似 的 例子 ,看 能 和 否 归 纳 出 一 
般 情况 。 
定理 2.14 (Wilson 定理 ) 设 p 是 一 个 素数 , 则 
(pp 一 1)!1 三 一 1 (mod p) 
证 明 : 车 p==2, 结 论 显然 成 立 。 
若 p 宇 3, 根 据 定理 2.10, 对 于 每 个 整数 a,1<a 二 p 一 1, 存 在 唯一 的 整数 a’, 1<a' 达 
pp 一 1, 使 得 
aa’ 三 1 (mod p) 
而 a=a 的 充 要 条 件 是 a 满足 
a 三 1 (mod p) 
此 时 ,a=1 或 者 p 一 1。 
因此 , 当 a€ {2,3,…,p 一 2} 时 ,有 a E{2,3,…,p 一 2}, 因 此,{2,3,…,p 一 2} 中 的 a 
和 a 两 两 配对 。 于 是 ,2，3，…，(p 一 2) 三 1 (mod p)。 
(pb 一 1D)1 = 三 1.2.3.…。(b 一 2)。 (p—1) 1°. (p—1) 1 (mod p) 国 
图 2.1 给 出 了 证 明 的 示意 图 。 


CO-DIL=1 "12:3... Pp 2D (p=1: (p11l(modp) 
两 两 配对 ， 乘 各 为 1 
图 2.1 Wilson 定理 证 明 的 示意 图 


2 3 ， 模 运 算 和 同 余 的 应 用 


231 密码 系统 的 基本 概念 模型 


信息 安全 中 最 重要 的 基础 部 分 是 密码 学 ,密码 学 的 最 初 目的 是 保密 。 图 2. 2 给 出 了 
密码 系统 的 基本 概念 。 
定义 2.7 密码 系统 (Cryptosystem) 
一 个 密码 系统 是 一 个 五 元 组 <P,C, 氏 ,已 ,D> ,满足 ， 
(1) 已 是 可 能 明文 的 有 限 集 ( 明 文 空 间 ) 
(2) C 是 可 能 密 文 的 有 限 集 ( 密 文 空间 ) 
(3) K 是 一 切 可 能 密 钥 构成 的 有 限 集 ( 密 钥 空 间 ) 
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明文 一 -| 加 密 | ~ 窗 文 一 | 解密 | ~ 明文 


加 密 密 钥 解密 窗 钥 
图 2.2 密码 系统 


CD 任意 kEK, 有 一 个 加 密 算法 a EE 和 相应 的 解密 算法 Li E D, 使 得 w :PC 
和 qu :CP 分 别 为 加 密 和 解密 函数 ,满足 di, (eu (x)) 二 x, 这 里 xzEP。 

注解 : 

古典 密码 体制 通常 对 字符 进行 运算 ,26 个 英文 字符 常 被 抽象 为 0 一 25 间 的 整数 。 
(在 计算 机 发 明之 后 ,现代 密码 体制 通常 对 比特 bit 进行 运算 。) 

如 果 ka 二 =k,, 即 加 密 密 钥 和 解密 密 钥 , 则 称 为 对 称 密 钥 密码 体制 。 否 则 , 称 为 非 对 称 
密 钥 密码 体制 (又 叫 公 钥 密码 体制 )。 古 典 方案 都 是 对 称 密 钥 密码 体制 , 公 钥 密码 密码 体 
制 是 在 1976 年 由 W. Diffie 和 M. Hellman 提出 的 , 它 的 出 现 是 密码 学 发 展 史 上 的 一 个 
里 程 碑 。 

对 称 密码 按照 明文 的 类 型 可 分 为 序列 密码 (又 叫 流 密码 ,Stream Cipher) 和 分 组 密码 
(Block Cipher) 。 序 列 密码 对 明文 按照 字符 或 者 比特 逐 位 加 密 , 对 密 文 逐 位 解密 。 分 组 密 
码 将 明文 按照 一 定 的 长 度 分 组 (Block) ,加 密 和 解密 分 组 进行 。 


232 移 位 密码 


模 运算 在 古典 密码 中 有 较 多 的 应 用 。 这 是 因为 古典 密码 通常 对 26 个 英文 字母 进行 
操作 。 
将 26 个 英文 字符 从 a 一 z 依次 分 别 与 0 一 25 的 整数 建立 一 一 对 应 关系 。 


abcdefghijk lmnopqrsgtuvwxy 2z 
0123456789101121314 15 16 17 18 19 20 21.22 23 24 25 


全 
P=C=K= Zx,zEP,yEC,AEK， 

定义 加 密 解密 算法 : 

ei:(T)=Zx++k mod 26 

di(y)=y—k mod 26 
例 2. 13 Caesar 密码 。Caesar 密码 是 上 二 3 的 移 位 密码 , 若 明 文 为 please, 请 写 出 

密 文 。 

解答 : 密 文 为 sohdvh。 


233 Vgenere 密 码 


维 吉 尼 亚 密 码 (Vigenere Cipher) 于 1858 年 由 法 国 密码 学 家 B. D. Vigenere 提出 。 
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定义 2.8 设 m 为 某 个 固定 的 正 整数 ,P,C,K 分 别 为 明文 空间 、 密 文 空间 、 密 钥 空 
间 , 且 P=C=K 二 (Zw)" ,对 一 个 密 钥 二 (ki ,ko，… ,km) ,定义 : 
er (X19T2 0° Tm) = (XTh ,zs hs ,Tm Rk, ) 
di Cy ,yz Yn) = (yk ya kas Ym ka) 
这 里 (zi ,zs，… ,zm) 为 一 个 明文 分 组 中 的 m 个 字母 。 所 有 运算 在 Zs 中 进行 。 密 钥 
长 度 为 m, 故 密 钥 空间 为 26"。 明 文 是 按照 长 度 为 m 的 分 组 进行 加 密 的 。 
Vigenere 密码 是 典型 的 多 表 代 换 , 加 密 中 一 个 字母 可 被 映射 到 m 个 可 能 的 字母 之 一 
(假定 密 钥 包括 mn 个 不 同 的 字母 ) ,所 以 分 析 起 来 比 单 表 代 换 更 困难 。 
思考 2.3: 设 m= 二 5, 密 钥 字 为 “hello”, 如何 加 密 “university”。 
明文 分 组 为 : unive，rsity, 密 文 转化 为 Zz 为 : 20,13,8,21,4 和 17,18,8,19,24。 
密 钥 字 实 际 为 二 (7,4,11,11,14) ,Zz 表示 的 密 文 为 : 1,17,19,6,18 和 24,22,19， 
4,12。 密 文字 母 为 ^brtgs, ywtem”。 
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希 尔 密码 (Hill Cipher) 由 数学 家 L. Hill 于 1929 年 提出 。 基 本 思想 是 把 m 个 连续 
的 明文 字母 代 换 成 mn 个 连续 的 密 文字 母 ,这 个 代 换 由 密 钥 决 定 ,这 个 密 钥 是 一 个 变换 和 矩 
阵 ,解密 时 只 需要 对 密 文 做 一 次 道 变换 即 可 。 
定义 2.9 设 交 是 某 个 固定 的 正 整 数 ,P,C,K 分 别 为 明文 空间 、 密 文 空间 、 密 钥 空 
间 , 且 P=C=(Zwo)", 设 KK 二 (kj;)，.m 是 一 个 m Xm 可 道 和 矩阵 ,( 即 行列 式 det(K) 隆 0, 且 
gcd(26,det(K) 王 1) 。 对 任意 密 钥 AE 开 ,定义 ， 
ek(z) 一 zKK 
di(y)=yK-! 
所 有 运算 均 在 Zs 中 进行 。 特 别 地 , 当 mm 二 1 时 ,Hill 密码 退化 成 单字 母 仿 射 密码 。 


例 2.14 设 w=2, 密 铀 k=| 3 7 | 容易 计算 K-' 一 | 2 汪 |- 设 明文 为 Hil, 相应 
的 明文 向 量 为 [7,8] 和 [11,11] .于 是 ,相应 的 密 文 向 量 分 别 为 


cra], 7 |=E77+24,56+561=[23,8] 


8 


11 
ca 和 了 


故 密 文 为 xiyj。 


|=021+33,88+77]=[24.9] 


[1] 写 出 模 9 的 一 个 完全 剩余 系 , 它 的 每 个 数 是 奇数 。 

[2] 2015 年 3 月 1 日 是 星期 日 , 问 第 2” 天 后 是 星期 几 ? 
[3] 写 出 Z/72Z 中 的 加 法 表 和 乘法 表 。 

[4] 运用 Wilson 定理 , 求 8.9.10.11.12.13 (mod7) 
[5] 编写 程序 实现 Vigenere 密码 算法 和 Hill 密码 算法 。 
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第 2 章 引 入 了 同 余 的 概念 ,本 章 介绍 在 模 mm 情况 下 同 余 式 的 求解 。 首 先 介绍 一 次 同 
余 式 的 求解 ,再 介绍 一 次 同 余 式 组 的 求解 。 
本 章 的 重点 是 中 国 剩余 定理 及 其 在 RSA 中 的 应 用 ,难点 是 模 重 复 平方 法 。 


3 1 一 次 同 余 式 


311 一 次 同 余 式 的 求解 


定义 3.1 设 史 是 一 个 正 整数 , F(z) 为 多 项 式 且 
JJ(z) 一 asz 十 … 十 az 十 ao 
其 中 w 是 整数 , 则 
f(x) 0 (mod m) 

称 作 模 m 同 余 式 。 若 4, 关 0 (mod 史 ), 则 nn 叫做 A(z) 的 次 数 , 记 为 degf。 此 时 叫做 模 六 
的 nn 次 同 余 式 。 

如 果 整 数 a 使 得 

f(a) 0 (mod m) 

成 立 , 则 a 叫做 同 余 式 的 解 。 

事实 上 ,满足 zx 三 a (mod m) 的 所 有 整数 都 使 得 该 同 余 式 成 立 。 因 此 ,在 讨论 同 余 方 
程 的 解 时 ,以 一 个 剩余 类 作为 一 个 解 。 在 模 m 的 完全 剩余 系 中 ,使 得 同 余 式 成 立 的 剩余 
的 个 数 叫做 同 余 式 的 解数 。 

下 面 首先 考虑 一 次 同 余 式 的 求解 。 

定理 3.1 一 次 同 余 方程 cz 三 5 (mod m) 有 解 的 充 要 条 件 是 (a,m)15, 且 当 其 有 人 解 
时 ,其 解数 为 (a,m)。 

证 明 : 先 证 明 必要 性 。 设 同 余 方程 ez 三 b (mod m) 有 人 解 , 解 为 zo,' 则 存在 整数 人 ， 
使 得 

azo 三 km+b 
即 
b = axro—km 
由 于 Caym) a, (as,m)1m; 因 此 


(asm) | azo—km=6b 


FE 信息 安全 数学 基础 一 一 算法 、 应 用 与 实践 mms 


再 证 明 充 分 性 。 

J a / m / b jw kk 

设 a Cm cam a 易 知 ,a ,m ,0 均 为 整数 。 
首先 考虑 同 余 方 程 


a'r =1(mod m’) 
因为 gcd(e ,m’) 二 1, 可 知 a 存在 模 m 的 乘法 逆 元 xo( 见 定义 2.3)。 满 足 a'zo 三 1 
(mod mm), 且 在 模 m 下, 逆 元 是 唯一 的 , 即 同 余 方 程 wz 三 1(mod m ) 存 在 唯一 解 
Xx 三 xo (mod m’) 
因此 , 易 知 同 余 方 程 
az =b’ (mod m’) 
也 存在 唯一 解 
zz 三 zo0 (mod m’) 
下 面 证 明 这 个 解 也 是 wz 三 5 (mod m) 的 特 解 : 
不 妨 设 == km 十 xob' ,ki1€Ez 


/ / 
= akim+t QZo0 


dz = akim’ 十 azxob’ =aki LL QZo 6 
(a,m) (a,m) 


a'rob (mod m) 
由 于 azxo 三 1(mod m ,不妨 设 arto= kom 十 1 ,ks Ex 


1 


azob = (kam’ 1)b = komb+b = ks 
(a,m) 


0 十 0 一 ksmb’ tb 


三 b (mod m) 


最 后 ,ez 三 5 (mod m) 的 全 部 解 为 : 


z=ntt oe (mod m), t=0,1,.%,(a.m)—1 
(a,m) 


其 原因 是 : 
如 果 同 时 有 同 余 式 
ar 三 b (mod m) 和 ax 6b (mod m) 
成 立 , 两 式 相 减 得 到 
a(T— x1)0 (modm) 
这 等 价 于 
ee m 
Xx (moa i 】 

因此 ,zx 只 要 与 zi 关于 一 一 同 余 , 即 为 az 二 5 (mod m) 的 解 。 国 


(a,m) 
定理 3. 1 的 证 明 过 程 其 实 给 出 了 一 次 同 余 式 求解 的 过 程 。 
定理 3.2 设 交 是 一 个 正 整数 ,a 是 满足 (a,m)16 的 整数 , 则 一 次 同 余 式 
ar 三 b (mod m) 
的 全 部 解 为 
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Eg 第 3 章 有 同 余 式 mm 


a By m pb i 
Fs ((as) 人 mod 二 十 (asm) Cmod m) 


t=0,1,…,(am)—1 
定理 3. 2 其 实 给 出 了 一 次 同 余 式 * 根 与 系数 的 关系 ”。 定 理 3.2 是 定理 3. 1 的 充分 性 
证 明 过 程 的 结果 ,图 3. 1 给 出 了 解 的 3 个 部 分 与 定理 3. 1 的 对 应 关系 。 为 便于 记忆 ,这 里 
将 这 3 个 部 分 简称 为 :“ 模 系 收缩 求 逆 元 ”"“ 逆 元 扩大 求 特 解 ”、“t 变 模 扩 求全 解 "。“ 模 系 
收缩 * 的 目的 是 使 得 “系数 a” 和"“ 模 m” 之 间 互 素 ,从 而 可 以 求 “ 系 数 a 的 逆 元 ”"。 有 了 “ 逆 


元 ”之 后 就 可 以 扩大 “一 :一 一 ” 求 出 特 解 。 最 后 再 由 特 解 求全 解 。 


= [5) (jes a Wm Fob) 
(a, m) (a, m) J (a,m) (a, m) 
| 
L_ 加 


1 xob” (x1) | 


图 3.1 一 次 同 余 式 “ 根 与 系数 的 关系 ”示意 图 


由 定理 3. 2 可 以 给 出 一 个 求解 一 次 同 余 式 的 算法 。 

例 3.1 求解 同 余 方程 32t 三 12 (mod 8)。 

解答 : (32,8) 店 12 ,由 定理 3. 1 知 , 同 余 方 程 无 解 。 

例 3.2 求解 同 余 方程 6 三 2 (mod 8)。 

解答 : 先 判断 (6,8)12, 所 以 同 余 方程 有 解 。 

先 解 同 余 方程 3z 三 1 (mod 4) ,此 方程 解 唯一 , 易 知 其 解 为 
三 3 (mod 4) 

取 z= 二 3, 则 


0 


4 
为 原 方程 的 解 。 原 方程 的 所 有 人 解 为 
ZX 三 3 (mod 8) 
三 3 二 +4 三 一 1] (mod 8) 


312 一 次 同 余 式 在 仿 射 加 密 中 的 应 用 


仿 射 密码 是 一 种 古典 密码 ,其 算法 设计 时 用 到 的 数学 基础 是 模 运算 和 同 余 方程 。 上 
一 章 曾经 介绍 过 移 位 密码 ,由 于 移 位 密码 的 密 钥 量 太 小 , 且 移 位 密码 在 加 密 代 换 后 字母 的 
先后 次 序 其 实 没 有 改变 。 仿 射 密码 可 以 改进 上 述 两 个 弱点 。 

定义 明文 空间 P 二 Zs 、 密 文 空间 C 二 Zz 、 密 钥 空 间 为 : 

K=((a.b) EZ » Zoe :gcd(a,26)=1} 
对 于 
XEP,yEC,k=(a,b)EK 
定义 加 密 函 数 : 
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ek(z) 一 az 十 0 mod 26 
解密 函数 : 
di(y)=a !(y—b) mod 26 

例 3.3 利用 仿 射 加 密 ,a 二 3,6 二 5, 模 为 26。 
解答 : 易 知 ,加 密 函 数 为 e(z) 王 3z 十 5 (mod 26) 
加 密 明 文 “hello”, 其 在 Zx 表 示 为 7,4,11,11,14。 
加 密 密 文 用 Zs 表示 为 0,17,12,12,21。 即 密 文 为 “armmv”。 
思考 3.1 仿 射 密码 中 a 是否 有 要 求 。 
根据 定理 3.1, 这 里 要 求 (a,26) 二 1, 否 则 ,加 密 函 数 就 不 是 一 个 单 射 函 数 。 
例如 ; 当 k=(6,1) 时 ,(a,26) 二 (6,26)= 二 2 时 ,对 xEZzs, 有 

6(z 十 13) 十 1 一 6z 十 1 mod 26 
于 是 zx, z 十 13 都 是 6z 十 1 的 明文 。 

思考 3.2 证 明 (4a,26)==1 时 , 仿 射 密码 的 解 唯一 。 

证 明 : 设 存在 x ,zxs€ 2 ,使 得 ee(Cz) 王 az 十 0 一 az 十 mod 26, 于 是 wz 一 azs mod 
26, 有 26|a(z 一 zz), 又 因为 (ae,26) 王 1, 所 以 26|(z 一 zz), 由 于 zyzzE2Zox ,得 到 zi 一 
Was 图 

思考 3.3 仿 射 密码 的 密 钥 空间 大 小 , 即 密 钥 的 数量 有 多 少 。 

a 的 可 能 性 为 12, 因 为 a€ Zxs ,gcd(e,26) 王 1, 即 

a=$(26)=$(2* 13)=$(2) » $(13)=1. 12=12 

bEZze'D 的 可 能 性 为 26。 

故 整个 密 钥 空间 大 小 为 12。26 一 312。 

如 果 密 钥 空 间 太 小 ,容易 导致 穷 举 所 有 可 能 的 密 钥 ,然后 看 能 否 解密 密 文 的 攻击 。 

另外 , 当 a=1 时 , 仿 射 密码 就 退化 为 移 位 密码 。 


32 中 国 剩余 定理 


在 研究 了 一 次 同 余 式 之 后 ,下 面 考虑 一 次 同 余 式 组 。 
中 国 剩余 定理 (Chinese Remainder Theorem.CRT) .又 称 孙子 定理 ,最早 见于 公元 
5 一 6 世纪 ,我 国 南北 朝 的 一 部 经 典 数学 著作 《孙子 算 经 ) 中 的 “ 物 不 知 数 ” 问 题 : 
“ 今 有 物 不 知 其 数 ,三 三 数 之 剩 二 ,五 五 数 之 剩 三 ,七 七 数 之 剩 二 , 问 物 几 何 ?” 
这 其 实 是 求解 一 个 一 次 同 余 方程 式 组 , 即 
TI 三 2 mod 3 
+ 三 3mod5 
Xr 三 2 mod7 
《孙子 算 经 》 中 给 出 了 解法 ,但 这 只 是 一 个 孤立 的 例子 。 南 宋 数学 家 秦 九 韶 创 立 的 “大 
衍 求 一 术 ” 一 般 性 地 解决 了 一 次 同 余 方 程 组 的 求解 问题 ,中 国 古 代 这 一 成 果 统 称 为 “孙子 
定理 ”, 在 外 国文 献 中 常 被 称 为 “中 国 剩余 定理 ”。 它 可 能 是 最 著名 的 由 中 国人 给 出 的 
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算法 。 
在 给 出 算法 之 前 ,请 先 体会 一 下 如 下 同 余 式 组 : 
Td 3 
: 三 2 mod 5 
Xx 三 2 mod7 


容易 知道 ,这 个 问题 容易 解决 , 即 x 二 2 (mod 105), 于 是 z=3，5。，7K 十 2,KE€Z。 
问题 是 ,如 果 余 数 不 再 相等 , 则 问题 就 有 点 麻烦 了 ,再 来 看 同 余 式 组 : 

Tr 三 2 mod 3 

= mod 5 

TX 三 4 mod7 

设法 从 3Ki 十 2,5Ks 十 3,7Ks 十 4(Ki,Ki,Ks€2) 中 找到 同一 个 数 看 上 去 是 不 容易 
的 。 也 就 是 说 ,找到 一 个 数 同时 满足 这 3 个 条 件 是 不 容易 的 。 于 是 ,能 否 换 个 思路 , 即 能 
否 把 x“ 想象” 成 由 3 个 部 分 组 成 。 为 便于 对 CRT 求解 过 程 的 理解 ,下 面 专 门 给 出 一 个 特 
别 的 表述 和 解释 。 

写成 3 个 部 分 的 好 处 是 :每 个 部 分 的 条 件 将 “更 容易 ”满足 。 

令 z=A 十 B 十 C, 若 A,B,C 满足 如 下 条 件 , 则 为 解 。 这 里 [aj, 表 示 模 m 与 a 同 余 。 

A=[2];.B=[0],.C=[0]; 
A=[0]J;,B=[3jJs ,C=[0]; 
A=[0],.,B=[0]; .C=[2]; 

看 最 左边 一 列 ,A 为 5，7 的 倍数 , 且 模 3 余 2, 这 样 A 就 比较 容易 求解 了 。A 可 用 如 
下 方法 计算 ， 

A=(5 .7)。(5。7)-:。2。 因 为 ,这 个 表达 式 中 有 (5。7), 因 此 是 5 和 7 的 倍数 。 
同时 这 个 表达 式 模 3 余 2。 原 因 是 :(5。7)=35。(5 .7)- 表 示 (5。7) 模 3 的 逆 元 。35 
模 3 的 逆 元 是 2。 两 者 相 乘 必然 模 3 余 1。 因 此 再 乘 以 2 后 必然 模 3 余 2。 即 A=35。 
2。，2 二 140 模 3 余 2, 目 为 5 和 7 的 倍数 。 

同 理 ,B 为 3.7 的 倍数 , 且 模 5 余 3, 于 是 ,可 用 如 下 方法 计算 : B=(3，7)。，(3。 
7)-:，。3, 这 里 (3。7)-!: 表 示 (3。7) 模 5 的 逆 元 。3。7 二 21,21 模 5 的 逆 元 是 1。 因 此 ， 
B=21. 1. 3=63。 

同 理 ,C 为 3。5 的 倍数 , 且 模 7 余 2, 于 是 ,可 用 如 下 方法 计算 : C=(3。5)。(3。 
5)-!。2, 这 里 (3。5)-: 表 示 (3。5) 模 7 的 逆 元 。3。5 二 15,15 模 7 的 逆 元 是 1。 因 此 ， 
C=15 "1° 2 一 30。 

于 是 z=A 十 B 十 C 王 140 十 63 十 30 王 233。 又 233 mod 105 三 23。 因 此 ,所 有 解 为 
105 开 十 23。 

在 程 大 位 著 的 (算法 统 要 》(1593 年 ) ,用 四 句 诗 给 出 了 上 述 解 答 过 程 的 中 几 个 关键 
数字 ， 


三 人 同行 古来 稀 , 五 数 梅花 廿 一 枝 ; 

七 子 团圆 正月 半 , 除 百 零 五 便 得 之 。 
这 几 个 关键 的 数字 是 :与 模 3 对 应 的 是 70(“ 古 来 稀 ”), 即 35，。2; 与 模 5 对 应 的 是 21 
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(* 甘 一 枝 ”), 即 21，1; 与 模 7 对 应 的 是 15。 1 一 15(* 正 月 半 ”)。 有 了 这 三 个 关键 数字 ,只 
要 给 出 z 模 3,5,7 的 余数 ai ,az ,as, 即 可 以 计算 出 结果 zx 一 al。70 十 am。21 十 as。15 
(mod 105)。 结 果 除 去 105 二 3。5。7 的 倍数 (“ 除 百 零 五 >) 即 可 以 得 到 答案 。 
一 般 地 ,如果 mm ,zz ,ms 是 两 两 互 素 的 正 整 数 , 对 于 同 余 方 程 组 
Ta mod mi 
T=a: mod m;: 


Tas mod ms 
3 
令 m== TE, Mj; 二 m/mi;，, 则 解 为 
记 1 


3 
并 三 II™: » Mi » ai(mod m) 
i=1 


当然 ,上 述 解 法 可 以 推广 到 一 般 情况 。 
例 3.4 韩信 和 点 兵 问题 有 兵 一 队 : 若 列 成 五 行 纵队 , 则 末 行 一 人 , 若 列 成 六 行 纵队 ， 
则 末 行 五 人 ;车 列 成 七 行 纵 队 , 则 末 行 四 人 ;车 列 成 十 一 行 纵队 , 则 末 行 十 人 。 求 兵 数 。 
解答 : 转化 为 同 余 式 组 
TX 三 1] mod 5 
ZX 三 5 mod 6 
ZT 三 4 mod7 
TX 三 10 mod 11 
应 用 CRT,m = 一 5，6，7.11=2310 
Mi 一 2310/5 王 462,Mi !=3 (mod 5) 
M: 王 2310/5 王 385，M2: -一 1 (mod 6) 
Ms=2310/5=330, M3 !=1 (mod 7) 
M,=2310/11=210, M, =1 (mod 11) 
工 462。3。1 十 385。1。5 十 330。1。4 十 210。1。10 
三 6731 三 2111 (mod 2310) 
下 面 给 出 CRT 的 严格 证 明 。 
定理 3.3( 中 国 剩余 定理 ) 设 训 ,mm;,….ms 是 上 个 两 两 互 素 的 正 整 数 , 令 mm = 


天 
J mis Mi 二 m/mi, (i 三 1,2,…,k), 则 对 任意 的 整数 a ,as,… ,a , 同 余 式 组 


三 a mod mi 
Xa mod ms C31 
=a: mod 7 

有 唯一 解 
2 || ee Co (3.2) 


i=1 


其 中 MIM; = 1 (mod m;) 
30 


Esseeg 第 3 章 有 同 余 式 mmm 


证 明 : 由 于 (mi;,mj) 二 1,i 闫 j, 即 得 (M;, mi) 二 1, 由 定义 2.3 和 定理 2. 8 知 ,对 每 一 
个 M;, 有 一 个 M;-! 存 在 ,使 得 MIM;- := 一 1 (mod m;)。 另 外 ,由 于 x= 二 mM;, 因 此 ， 
mj|Misi 关 j, 故 
I[M :Ma=M-: Ma(modm) i=1,2,,k 


iml 
即 (3.2) 为 (3.1) 的 解 。 
车 zx1 ,zs 是 满足 (3. 2) 的 任意 两 个 整数 , 则 zi 三 xs 《mod mi) (i 二 1,2,…,k), 因 为 
Gmismj) 二 1,i 关 j ,于 是 zi 三 zz (mod m), 故 式 (3.1) 仅 有 解 式 (3. 2)。 图 
根据 CRT, 可 以 给 出 一 个 求解 一 次 同 余 式 组 的 算法 。 


3.3 同 余 式 的 应 用 


331 RSA 公 和 钥 密 码 系 统 
一 个 公 钥 密码 系统 的 示意 如 图 3.2 所 示 , 具 体 的 描述 如 下 。 


n S$(random) 


| 


Gec0 


pk sk 


| 


-| Ene0 | =| DecO) 一 
m c=Encp(m) m=Decs(c) 


图 3.2 公 钥 加 密 体制 的 示意 图 


定义 3.2 一 个 公 钥 加 密 体制 是 这 样 的 一 个 6 元 组 (M,C,K,Gen(),Ency()， 
Decs ()) ,满足 如 下 条 件 : 

(1) M 是 可 能 消息 的 集合 。 

(2) C 是 可 能 密 文 的 集合 。 

(3) 密 钥 空间 K 是 一 个 可 能 密 钥 的 有 限 集 。 

(4) 密 钥 生成 算法 Gen(): 输入 安全 参数 ,输出 公 钥 pk 和 私 钥 sk。 

(5) 加 密 算法 Encp.() : 根据 输入 的 公 钥 pk 和 明文 mr, 输 出 密 文 c 王 Encns (zz) 。 

(6) 解密 算法 Decs(): 根据 输入 的 私 钥 sk 和 密 文 c, 输 出 明文 m= 二 Decs(c)。 

注解 : 

(1) 与 对 称 加 密 体制 的 一 个 最 大 的 不 同 是 加 密 密 钥 和 解密 密 钥 是 不 同 的 , 且 加 密 密 
钥 可 以 公开 ,解密 密 钥 需要 保密 。 

(2) 密 钥 生 成 算法 在 对 称 加 密 体制 中 是 没有 的 (或 者 说 是 平凡 的 ) ,而 在 公 钥 密码 体 
制 中 却 是 不 平凡 的 。 密 钥 生 成 算法 可 能 是 随机 生成 的 密 钥 。 

(3) 随机 性 。 加 密 算 法 可 能 是 随机 的 , 即 在 算法 中 可 以 使 用 一 个 随机 数 ,输出 的 密 文 
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与 该 随机 数 有 关 , 这 种 算法 叫做 概率 加 密 。( 例 如 5.4 节 的 ElGamal 加 密 。) 

(4) 确定 性 。 解 密 算法 一 定 是 确定 的 。 

(5) 安全 性 ( 单 向 性 ) : 在 已 知 密 文 c 和 公 钥 pk 的 情况 下 ,推出 明文 m 在 计算 上 是 不 
可 行 的 。 对 于 任意 的 AE 开 ,在 已 知 Ences() 的 情况 下 推出 Decs() 是 计算 不 可 行 的 。 对 于 
任意 的 &EK ,在 已 知 pk 的 情况 下 ,推出 sk 是 计算 不 可 行 的 。 

(6) 有 效 性 (实用 性 ): 公 钥 和 私 钥 的 产生 , 即 密 钥 生成 是 容易 的 。 即 Gen() 是 多 项 式 
时 间 内 可 计算 的 。 已 知 公 钥 pk 和 明文 m, 计 算 密 文 二 Ence (m) 也 是 多 项 式 时 间 可 计 
算 的 。 

(7) 一 致 性 。 对 每 一 个 二 (pk,sk) EK, 都 对 应 一 个 加 密 算法 Encpx :MC 和 解密 
算法 Dec 〇 :CM, 满 足 对 于 任意 的 mE M, 若 c= 二 Encpy (mm), 则 Decs (ce) 二 m。 

(8) 陷 门 性 。 若 已 知 私 钥 sk, 存 在 多 项 式 时 间 算 法 可 以 有 密 文 c 计算 出 明文 mm, 满足 
c= Encpx (m) ,其 中 私 钥 sk 称 为 陷 门 信息 (trapdoor information)。 

1977 年 MIT 的 Ronald L Rivest\Adi Shamir、Leonard Adleman 在 MIT 的 技术 报告 
中 提出 RSA 方案 ,正式 发 表 于 1978 年 的 Communicationof ACM 期 刊 上 。2 

RSA 利用 了 单 向 陷 门 函数 的 原理 ,其 示意 图 如 图 3. 3 所 示 , 陷 门 信息 是 解密 密 钥 即 
私 钥 d( 与 之 类 似 的 陷 门 是 n 的 分 解 , 因 为 如 果 知 道 的 分 解 p 和 g ,就 可 以 从 公 钥 求 出 私 
钥 d) 。 

ca 二 sd modn 
7 
M=/"(C)=C" modn 


图 3.3 RSA 利用 单 向 陷 门 函 数 的 原理 示意 图 


RSA 公 钥 密码 方案 描述 如 下 : 


1. 密 钥 生成 

(1) 选取 两 个 大 素数 p 和 g (例如 长 度 都 接近 512bit) ; 

(2) 计算 乘积 =p，g,$(n)= 二 (p 一 1)(g 一 1) ,其 中 B07) 为 n 的 欧 拉 函 数 ; 

(3) 随机 选择 整数 e(1 二 e 二 p(n)) ,要求 满足 gcd(e,$(n)) 二 1, 即 e 与 $(n) 互 素 。 

(4) 用 扩展 的 Euclidean 算法 计算 私 钥 d, 以 满足 d，e 二 1 mod ($8(n)), 即 4 三 
e ! mod ($(n)), 

公 钥 为 e 和 wd 是 私 钥 。( 两 个 素数 p 和 9g, 可 销毁 .不 能 泄露 .) 

2. 加 密 过 程 

明文 先 转换 为 比特 串 分 组 ,使 每 个 分 组 对 应 的 十 进 制 数 小 于 n, 即 分 组 长 度 小 于 


@ RSA 是 第 一 个 实用 的 公 钥 密码 系统 ,是 目前 应 用 最 广泛 的 公 钥 密码 系统 。 后 来 ,三 位 发 明 者 在 2002 年 获得 
了 计算 机 领域 的 最 高 奖项 一 一 ACM 图 灵 奖 。 文献 见 R. Rivest, A. Shamir, L. Adleman (1978). A Method for 
Obtaining Digital Signatures and Public-Key Cryptosystems. Communications of the ACM 21 (2): 120-126。 
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logzn, 然 后 对 每 个 明文 分 组 mm; 作 加 密 运 算 ,具体 过 程 如 下 : 
(1) 获得 接收 公 钥 (e,n) 。 
(2) 把 消息 M 分 组 长 度 为 L(L 二 logzn) 的 消息 分 组 M==mims*…m,。 
(3) 使 用 加 密 算 法 c= 二 mf mod n(1 志 i 过 ) ,计算 出 密 文 c 一 cutcz ci 。 
3. 解密 过 程 
(1) 将 密 文 c 按 长 度 L 分 组 得 c 一 cicz…cr。 
(2) 使 用 私 钥 4 和 解密 算法 mm; 二 cf mod n(1 志 Tw) 计算 m;。 
(3) 得 明文 消息 M=mms*…m,。 


解密 算法 的 正确 性 证 明 如 下 : 

cz mod n=m?” mod n=m#"®? +! mod n 
分 两 种 情况 讨论 : 
(1) gcd(mi,n) 二 1。 由 欧 拉 定理 ,得 


mmf? mod n, m¥" 1 mod n, mv +=m;, mod n 


于 是 cz mod n 三 m; mod n。 

(2) gcdlmi,n) 了 关 1。 由 于 n= 二 p*，gvgcd(mion) ns, 所 以 gcd(m;,n) 二 pp 或 g。 

不 妨 设 gcd(n,mi) 二 pplmi, 令 ;二 sp,1 夺 ;gq。 

@ gcd(mi,q) 二 1, 由 Fermat 定理 可 得 mf! 三 1 mod g, 于 是 (mY!1)*% ?三 ] mod g， 
即 m#'"? 二 ] mod gq。 

@ 另外 ,由 plmi, 得 mr 三 0 三 m; mod 户 , 故 mm? 三 m; mod p。 

由 @@, 且 gcd(p,q)==1。 由 中 国 剩余 定理 ,mr 圭 m; mod n, 于 是 ,cf mod n 三 m; mod n。 

综合 (1) 和 (2) ,有 cz mod = mod n。 又 mj; 过 n, 故 m; mod n= 二 mn;。 国 

例 3.5 取 p==11,g= 二 13, 那 么 n= 二 pg 二 11*13 二 143,$(n) 二 (p 一 1)(g 一 1) 二 120, 选 
取 e=17 ,满足 gcd(e,$(n)) 二 gcd(17,120)==1。 

使 用 扩展 的 Euclidean 算法 计算 d=e != 二 113 mod 120, 所 以 公 钥 为 (n,e) 二 (143， 
17) , 私 钥 为 d= 二 113。 

假设 对 明文 m= 二 24 进行 加 密 , 密 文 为 c 圭 m* 三 24" 三 7 mod 143。 密 文 c==7 经 公开 信 
道 发 送 到 接收 方 后 ,接收 方 用 私 钥 d 王 113 对 密 文 解密 : m 三 c 寺 7 二 24 mod 143。 从 而 
恢复 明文 。 


332 CRT 在 RSA 中 的 应 用 


(1) 利用 CRT 进行 运算 加 速 。 
解密 者 在 计算 关 一 cx (mod n) 的 过 程 中 ,可 以 分 别 计算 m= 二 cx (mod p) 和 m= 二 c* (mod 
9)。 然 后 利用 CRT 计算 出 mm。 
例 3.6 计算 312*(mod 667) 
解答 : 令 z 一 3123 ,解密 者 知道 667 一 23。29,. 所 以 计算 等 价 于 求解 同 余 式 组 
人 三 wa mod 23 


工 三 as mod 29 
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利用 模 重 复 平方 法 (将 在 3. 3. 3 节 介 绍 ), 得 到 a 二 312* (mod 23) 一 8,az 一 31223 

(mod 29) 一 4。 再 利用 CRT, 有 
Mi=29,Mi -一 4(mod 23),M: 王 23,M2: -一 一 5 (mod 29) 
ZX 三 4。29。8 十 (一 5) 。23。4 二 468 (mod 667) 

思考 3.4: 为 什么 CRT 只 能 对 解密 加 速 , 不 能 对 加 密 加 速 。 

解密 需要 知道 的 分 解 , 即 需要 知道 p,q, 有 nn 二 pq。 只 有 解密 者 知道 p,q。 

另外 ,因为 解密 可 以 加 速 , 并 且 加 密 的 速度 对 用 户 体验 的 影响 可 能 更 大 ,所 以 很 多 情 
形 下 RSA 加 密 密 钥 e 较 解密 密 钥 4 小 。 

(2) 利用 CRT 进行 低 加 密 指数 攻击 。 

如 果 加 密 密 钥 中 加 密 指 数 e 很 小 ,例如 e 二 3, 设 明文 为 m, 密 文 c 圭 m? mod n, 如 果 m 
较 小 , 则 c 有 可 能 小 于 nn, 则 mod n 操作 未 起 作用 , 故 可 对 c 直接 开 3 次 方 得 到 mx。 如 果 mm 
较 大 ,mod n 操作 起 了 作用 ,虽然 不 能 直接 开 方 ,仍然 有 可 能 得 到 m。 假 设 有 3 个 用 户 接 
收 训 , 模 数 分 别 为 n,ns ,ns3。 设 明文 为 m, 密 文 分 别 是 : 

dm’ mod m 
c=m’ mod ns 
c=m’? mod ns 

一 般 gcd(niwn) 关 1,i 关 j,i,jE11,2,3) ,否则 可 通过 gcd(ni,nj) 得 到 n;,n; 的 分 解 
(从 而 泄露 了 p,q) ,于 是 由 中 国 剩余 定理 ,可 从 三 个 密 文 同 余 式 求 出 za mod nnzns。 由 
于 此 时 0 二 ma 三 mnzns, 可 直接 对 m? 开 立 方 得 到 m。 

推 而 广 之 ,车 加 密 指数 为 e, 则 得 到 相同 明文 的 e 个 密 文 即 可 由 该 攻击 方法 恢复 出 明 
文 。 因 此 ,同一 消息 加 密 后 发 送 给 多 个 实体 时 (车 此 时 的 加 密 指 数 相 同 ) ,不 要 使 用 小 的 加 
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RSA 加 密 和 解密 时 都 需要 计算 模 究 。 平 凡 的 求 模 客 方法 在 宫 指 数 较 大 时 耗 时 非常 
长 。 因 此 ,寻求 快速 求 模 窜 的 算法 对 于 RSA 的 加 密 解 密 效率 至 关 重 要 。 模 重复 平方 (也 
称 为 平方 乘 ) 算 法 可 以 加 快 计算 模 寡 的 速度 。 下 面 介绍 该 算法 。 

要 计算 c= 二 m* mod 7 ,不妨 设 e 的 二 进 制 表示 为 

e 二 e271! 十 ez2"? 十 … 十 e121! 十 eo 
一 2(2(…(2(2(erl) 十 erz) 十 )…) 十 el) 十 eo 


c=m’ mod 7 
1 NM 
=mi te at ttea? mod n 
(CC (Mmm) mr ) mY) mi ) mo mod n 


-COG 


从 表达 式 可 以 看 到 ,如 果 e; 二 1, 则 m 即 模 将 需要 平方 ,并 且 反 复 进行 ,因而 , 称 为 “ 模 重复 
于 大 法 
根据 这 一 表达 式 , 可 以 设计 计算 模 寡 的 快速 算法 。 
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算法 3.1: Square-and-Multiply(m.e,n)。 


/* 模 重复 平方 平方 乘 ) 算 法 ,计算 c 呈 modn。* / 


/* 输 入 :m 徊 次 e, 模 n */ 
/* 输出 : 模 竹 的 结果 c */ 
{ 
=1 
fori=k-l1to0 
{ 

c= Cmdn 


If (ea==1) c< c* mmdn 
} 
Return c 
} 


可 以 看 到 ,在 算法 中 i 二 k 一 1 时 , 即 首 次 进入 循环 时 ,总 满足 条 件 et-1 二 1,c==1*。m 
mod n。 然 后 ,每 次 进入 循环 后 , 先 平 方 , 从 。 的 高 位 向 低位 考查 , 若 该 位 为 1, 则 乘 上 mn， 
否则 不 乘 。 最 后 一 次 进入 循环 ,i=0 时 , 若 e 二 1, 则 乘 上 m, 否 则 不 乘 。 

例 3.7 计算 97263533 mod 11413 。 

解答 : 3533 王 (110111001101)， ,mm 一 9726, 表 3. 1 给 出 了 计算 过 程 。 


表 3.1 模 重 复 平方 法 的 计算 过 程 


i ei 过 

11 i 1* » 9726 二 9726 

10 i 97262。9726 一 2659 
9 0 2659? 一 5634 

8 1 56342。9726 一 9167 
多 了 91672。9726 一 4958 
6 1 4958:。9726 一 7783 
0 7783: 一 6298 

4 0 62982: 一 4629 

3 L 46292。9726 一 10185 
1 10185:。9726 一 105 
1 0 105? =11025 

0 和 11025:。9726 一 5761 


思考 3.5: 计算 过 程 中 有 几 次 平方 , 几 次 乘法 。 
模 平 方 运算 有 12 次 , 模 乘法 运算 有 8 次 。 平 均 而 言 , 有 logze 次 模 平 方 运算 和 约 
0. 5logs 次 , 模 平 方 和 模 乘 法 均 视 为 模 乘 法 运算 , 则 总 计算 次 数 约 为 1. 5logze 次 模 乘 法 ,最 
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多 不 超过 2logse 次 模 乘 法 运算 。 

算法 的 效率 决定 了 RSA 加 密 和 解密 是 否 实用 。 下 面 给 出 一 个 较 严 格 的 算法 分 析 。 
首先 来 看 几 个 基本 模 运 算 的 效率 , 即 在 Zn 中 的 运算 ,假定 为 一 个 1 比特 的 整数 (一 
logzn) ,0 三 mi ,ms 三 n 一 1。 设 c 为 一 个 正 整数 ,结果 如 表 3. 2 所 示 。 


表 3.2 基本 模 运算 的 时 间 复杂 度 


运 算 时 间 复 杂 度 运 算 时 间 复 杂 度 
(za 十 maz ) modn OD (mm2z) mod n OC) 
(oa 一 pz ) modn OD (Coma) -1 modn GO 


下 面 分 析 模 重复 平方 算法 (算法 3. 2) 的 效率 ,有 & 次 循环 ( 即 指数 e 的 二 进 制 位 数 )， 
每 次 循环 中 总 要 执行 1 次 平方 运算 ( 视 为 模 乘 ) ,或 者 加 上 1 次 的 模 乘 , 故 1 次 循环 执行 2 
次 模 乘 或 1 次 模 乘 。A 次 循环 最 多 2k 次 模 乘 。 根 据 表 中 所 示 模 乘 的 时 间 复 杂 度 为 
0O(2 ) :为 模 的 长 度 ( 即 /==logzn). 故 总 时 间 复 杂 度 为 O(kL ) 。 另 外 ,通常 e 二 n, 故 上 二 
1, 于 是 时 间 复 杂 度 为 O(8) 二 O((logzn)*)。 因 此 ,RSA 的 加 密 ( 或 解密 ) 都 是 在 关于 明文 
(或 密 文 ) 的 比特 长 度 的 多 项 式 时 间 内 完成 。 

另外 ,由 于 模 重 复 平方 算法 的 循环 中 模 乘 的 次 数 等 于 加 密 密 钥 e 的 二 进 制 表示 中 “1” 
的 个 数 , 故 选择 二 进 制 表示 中 “1” 较 少 的 那 种 加 密 密 钥 将 会 加 快 RSA 加 密 的 速度 ,例如 
e 二 2 十 1, 循 环 中 只 有 2 次 模 乘 。 


思 考 题 


[1] 计算 2%%% (mod 1309) (提示 : CRT 十 欧 拉 定理 ) 。 

[2] 编写 程序 实现 中 国 剩余 定理 (CRT) ,以 韩信 点 兵 为 例 ( 韩 信 带 1500 名 兵士 打仗 ， 
战 死 四 五 百人 ,站 3 人 一 排 ,多 出 2 人 ;站 5 人 一 排 ,多 出 4 人 ;站 7 人 一 排 ,多 出 6 人 。 韩 
信 马 上 说 出 人 数 : 1049)。 

[3] 程序 设计 : 模 重 复 平方 法 计算 z" (mod m) 。 计 算 RSA ,明文 m= 二 53, 公 和 钥 e== 
355 1 一 31w.37。 

[4] 计算 22 (mod 47)，23(mod 71) ,并 用 程序 来 验算 。 

[5] 编写 程序 实现 300 十 进 制 位 RSA 公 钥 密码 系统 。 


cn 
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第 4 意 
“二 次 同 余 式 和 平方 剩余 


第 3 章 讨论 了 一 次 同 余 式 ,本章 讨论 二 次 同 余 式 。 
本 章 重 点 是 平方 剩余 的 判定 ,Legendre 符号 及 其 计算 方法 。 难 点 是 Rabin 公 钥 密码 
系统 。 


4.1 二 次 同 余 式 和 平方 剩余 


二 次 同 余 式 的 一 般 形式 是 : 
az’+bzrte 0 (modm) 
其 中 天 0 (mod m) 
因为 正 整数 m 有 素 因子 分 解 式 m 二 pi% pz …pr* ,所 以 二 次 同 余 式 等 价 于 同 余 式 组 
ar’ 二 br 十 c 夺 0 (mod p1") 


ar’: 十 t 十 c 三 0 (mod pi*) 
因此 ,只 需要 讨论 模 为 素数 寡 p" 的 同 余 式 
axr’+bzxi+c 三 0 (mod 加 )， 户 4 
通过 配方 ,可 以 进一步 变形 为 
(2az 十 0)2 生 钴 一 4ac (mod p°) 
令 y= 二 2az 十 b, 有 
y= 6—4ac (mod p") 
点 关注 如 下 形式 的 二 次 同 余 式 : 
ZX 三 a (mod p") 
定义 4.1: 设 m 为 正 整数 .车 同 余 式 
ZX! 三 a (mod m), (a,m)=1 
有 人 解 , 则 称 a 为 模 wm 的 平方 剩余 (quadratic residue. 也 叫做 二 次 剩余 ) ,否则 称 a 为 模 汉 
的 平方 非 剩 余 Cquadratic non-residue, 二 次 非 剩余 ) 。 
思考 4.1: 对 于 mm 二 2, 判 断 某 个 数 是 否 为 模 2 的 平方 剩余 是 平凡 的 。 
下 面 主要 考虑 模 为 奇 素数 p 的 平方 剩余 。 
例 4.1 求 模 7 的 平方 剩余 。 
解答 : 通过 穷 举 法 ,可 计算 出 


因此 ， 


pm 
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1'1 (mod 7) 2:=4 (mod 7) 3’:=2 (mod 7) 
4=2 (mod 7) 5:=4 (mod 7) 6’*=1] (mod 7) 
于 是 ,1,2,4 是 模 7 的 平方 剩余 ,3,5,6 是 模 7 的 平方 非 剩 余 。 
通过 观察 ,发 现在 计算 时 可 以 “成 对 ”计算 , 即 只 需要 计算 一 半 即 (p 一 1)/2 个 数 即 可 : 
1' 二 1 (mod 7) 2 二 4 (mod 7) 3 三 2 (mod 7) 
6 三 ( 一 1)* 三 1] (mod 7) 5:=(—2)’*=4 (mod 7) 4?=(—3)’=2 (mod 7) 
例 4.2 求 模 17 的 平方 剩余 。 


解答 : 

工 | | | Al | S12 ‘63U | 210. | 8,9 
a = zx:(mod 17) 1 4 9 16 8 2 15 13 
模 17 的 平方 剩余 为 1,2,4,8,9,13,15,16; 平 方 非 剩 余 为 3,5,6,7,10,11,12,14。 
通过 观察 ,可 以 发 现 , 平 方 剩余 的 个 数 是 简化 剩余 系 元 素 个 数 的 一 半 。 
一 般 地 ,有 如 下 结论 : 


定理 4.1 在 素数 模 p 的 一 个 简化 剩余 系 中 , 恰 有 (p 一 1)/2 个 模 p 的 平方 剩余 ， 
(p 一 1)/2 个 平方 非 剩 余 。 

在 给 出 证 明之 前 , 先 看 定理 示意 图 ( 见 图 4. 1) ,左边 为 简化 剩余 系 , 右 边 为 平方 。 可 
以 看 到 ,由 于 简化 剩余 系 "成 对 ?计算 ,计算 出 的 平方 剩余 个 数 刚好 为 简化 剩余 系 元 素 个 数 
的 一 半 。 


2 


图 4.1 定理 4.1 的 示意 图 
证 明 : 取 模 p 的 最 小 简化 剩余 系 ,这 里 在 成 对 放 苇 
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dt | 
2 ”2 


则 a 是 模 p 的 平方 剩余 当 且 仅 当 
“=( | 好 1+1] …， 加 三 年 


二 2 2 
王 !) ,( 三 + i 


由 于 (一 说 三 疼 (mod p), 所 以 a 模 p 的 平方 剩余 当 且 仅 当 


i 2 天 3 
4=1 ,2 (一人 二 1) ,一 妃 1 tinod py 


又 当 ij,1<i,j 壹 (p 一 /2 时 ,六 闫 六 (mod p), 所 以 模 p 的 平方 剩余 个 数 为 (p 一 1)/2， 
模 的 平方 非 剩 余 的 个 数 为 如 一 1 一 (一 1)/2 一 (2 一 1)712。 国 

根据 定理 4. 1, 可 以 给 出 一 个 算法 输出 奇 素数 的 平方 剩余 和 平方 非 剩 余 。 

思考 4.2: 如 何 根据 定理 4. 1 给 出 一 个 算法 计算 输出 奇 素数 p 的 平方 剩余 和 平方 非 
剩余 。 

例 4.3 求 方程 E:y 三 x 十 t+ 十 2 (mod 7) 的 所 有 点 。 

解答 : 方程 下 其 实 就 是 一 个 椭圆 曲线 方程 。 由 于 模 为 7, 对 xz=0,1,2,， 3, 4,5, 6， 
分 别 求 y。 


a 


0,y 三 2 (mod 7), y=3,4 (mod 7) 
1,y:==4 (mod 7), y=2,5 (mod 7) 
Z 一 2,y%= 三 5 (mod 7), 无 解 
3,y=4 (mod 7), y=2,5 (mod 7) 
4,y: 三 0 (mod 7), y=0 (mod 7) 
二 5,y 三 6 (mod 7), 无 解 
X=6,y=0 (mod 7), y=0 (mod 7) 
根据 该 结果 ,可 以 画 出 椭圆 曲线 图 ( 见 图 4. 2) ,这 个 看 上 去 像 个 “围棋 盘 ” 的 图 中 ,如 
果 > 天 0, 则 > 坐标 是 关于 7/2 对 称 的 。( 关 于 椭圆 曲线 密码 的 详 述 ,请 见 第 9 章 。) 


ue 


图 4.2 椭圆 曲线 方程 下: 交 三 xz 十 x 十 2 (mod 7) 上 所 有 的 点 


前 面 ( 例 4. 1 和 例 4.2) 对 平方 剩余 的 判定 主要 依靠 穷 举 法 ,下 面 给 出 欧 拉 判 定 法 则 ， 

从 理论 上 给 出 了 判别 a 是 否 为 模 p 的 平方 剩余 的 方法 。 该 方法 将 平方 剩余 的 判定 问题 
转化 成 计算 问题 。 
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定理 4.2(Euler 判定 法 则 ) ” 设 p 是 奇 素数 ,(a,p) 二 1, 则 
(1) a 是 模 p 的 平方 剩余 的 充 要 条 件 是 
a =1 (mod p) 
(2) a 是 模 p 的 非 平方 剩余 的 充 要 条 件 是 
a =—1 (mod p) 
当 且 仅 当 a 是 模 记 的 平方 剩余 时 ,二 次 同 余 式 
Xx: 三 a (mod p), (a,p)=1 

有 2 解 。 

证 明 : 先 证 明 (1)。 先 证 明 必 要 性 。 假 定 a 三 y* mod p,a 记 0, 故 y 隆 0 mod p。 于 是 
根据 Fermat 定理 ,(y*)% 5 三 yi 1=1 mod p。 

再 证 充分 性 。 假 定 a*-? 二 1 mod p, 设 5 为 一 个 模 p 的 原 根 ( 见 第 5 章 ), 于 是 a 二 
bi mod 户 , 对 于 某 个 正 整数 ;站 成立 。 有 ae 2502 三 大 0 042 二 0 人 5 mod p, 由 于 5 的 阶 ( 见 
第 5 章 ) 为 p 一 1, 因 此 必 有 (p 一 1)1(i(p 一 1)/2)。 因 此 ,i 是 偶数 ,于 是 a 的 平方 根 为 
tb”Y? mod p。 

下 面 证 明 (2) 。 由 于 a?-! 二 1 (mod p)。a 气 三 1 (mod p) 或 者 a 呈 二 一 1 (mod p)。 
由 (1) 可 知 (2) 成 立 。 图 

例 4.4 8 是 不 是 模 17 的 平方 剩余 ? 

解答 ; 8 二 8: 三 1 (mod 17) ,因此 ,8 是 模 17 的 平方 剩余 。 

例 4.5 137 是 不 是 模 227 的 平方 剩余 ? 

解答 : 计算 13722 52 三 13723 (mod 227) ,利用 模 重 复 平 方法 ,得 到 该 值 为 一 1, 因 
此 ,137 是 模 227 平方 非 剩余 。 

推论 : 设 p 是 奇 素数 ,a1,p)= 二 1,(as,p)= 二 1, 则 

(1) 如 果 al ,as 都 是 模 p 的 平方 剩余 , 则 aias 是 模 p 的 平方 剩余 ; 

(2) 如 果 wm ,as 都 是 模 p 的 平方 非 剩 余 , 则 was 是 模 户 的 平方 非 剩 余 ; 

(3) 如 果 w 是 模 p 的 平方 剩余 ,as 是 模 p 的 平方 非 剩余 , 则 aias 是 模 p 的 平方 非 

显然 ,定理 4.2 可 以 转换 成 一 个 算法 。 虽然 该 算法 比较 简单 ,但 是 有 利于 加 深 对 概念 
的 理解 。 


算法 4.1 Euler 判定 方法 计算 a 是 否 为 模 p 的 平方 剩余 。 


/* int Euler(a, p) 人 
/* 输入: 整数 a, (a,p)=1, 奇 素数 p */ 
/* 输出 : a 是 平方 剩余 或 者 a 是 平方 非 剩余 */ 


a 

int ex = Square and- Multiply(a, (p- 1)/2,p); // 调 用 模 重复 平方 子 函 数 
if (es=1) 

{ 


printf("a 是 平方 剩余 "); 
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Retum 1; 


printf ("a 是 平方 非 剩 余 "); 


Retum - 17 


423 ”Legendre 符号 及 其 计算 方法 


当 户 不 太 大 时 ,可 以 利用 算法 4. 1 判定 某 个 数 是 否 为 平方 剩余 。 但是, 当 p 比较 大 
时 ,该 方法 的 计算 量 较 大 ,就 不 实用 了 。 下 面 引 入 勒 让 德 符 号 ,给 出 一 种 判定 模 p 平方 剩 
余 的 更 有 效 的 方法 。 
定义 4.2 设 p 是 素数 ,a 是 整数 ,Legendre( 勒 让 德 ) 符 号 定义 如 下 : 
1, 若 a 是 模 p 的 平方 剩余 
(£)= 一 1, 若 a 是 模 jp 的 平方 非 剩余 
0,; 若 pla 
Legendre( 勒 让 德 ) 符 号 可 理解 成 一 个 判定 函数 ,函数 的 返回 值 为 1, 一 1,0。 
算法 4.2 Legendre 函数 计算 Legendre 符号 的 结果 ,这 一 计算 过 程 直接 从 定义 给 出 ， 
是 平凡 的 ,主要 目的 是 帮助 初学 者 加 深 对 Legendre 符号 这 一 概念 的 理解 。 


算法 4.2 Legendre 也 数 计算 Legendre 符号 的 结果 。 


/* int Iegendre (int a, int p) */ 
/* 输 入 : 整数 a, 素 数 p */ 
/* 输出 : Legendre 符 号 的 值 */ 


int Legendre (int ay int p) 
| 
if bs a==0) //pla 
Retum 0; 
else 
{ 
if (euler(a,p)==1) // 调 用 Euler 判 定 函数 
Retum 1; 
else 
Retum -1; 
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其 实 , 如 果 不 要 求 定 理 4.2 中 的 (a,p) 二 1, 并 且 将 Legendre 符号 引入 ,定理 4.2 可 以 
叙述 为 定理 4. 3。 
定理 4.3 〈 欧 拉 判 定 法 则 ) 设 p 是 奇 素数 , 则 对 任意 整数 a， 
(有 = a ( mod p) 
定理 4. 3 有 两 个 好 处 : 将 Legendre 符号 的 计算 转变 成 模 宕 计算 问题 ;同时 这 一 计算 
结果 可 用 来 判断 a 是 否 为 模 p 的 平方 剩余 。 


算法 4.3 计算 Legendre 符号 (由 定义 给 出 ,通过 模 寡 计算 的 平凡 方法 ) 。 


/* int L (int a int p) 7 
/* 输 入: 整数 a, 奇 素数 pp */ 
/* 输 出: Legendre 符 号 的 值 */ 
int L(int a, int p) 
{ 
Retumn Square- and- Multiply(a, po- 1)/2,p); ”// 调 用 模 重 复 平方 函数 
} 


下 面 讨论 如 何 给 出 Legendre 符号 的 快速 计算 方法 。 
由 定理 4.3, 可 得 到 如 下 推论 (这 些 推 论 有 利于 Legendre 符号 的 快速 计算 )。 
推论 1 设 p 是 奇 素数 , 则 


1 

(S$)=1. 
p 

(2) ( 弛 ) 一 (一 了 全 
多 8 


由 推论 1 可 以 给 出 如 下 计算 子 函数 的 定义 ,帮助 初学 者 理解 。 


int L ONE (const int a=1, int p) 
' 

Retrun 1; 
} 


int 工 MinusOne (const int a=— 1, int p) 
{ 
El 
Retrm(- Di; 
} 


推论 2 设 p 是 奇 素数 ,那么 

CE | 1， 车 pp 三 1 (mod 4) 

GS LE 若 p 硅 3 (mod 4) 
证 明 : 根据 Euler 判别 法 则 ,有 
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三 二 和 有 星 
( 2 ) C= 
若 p 硅 1(mod 4), 则 存在 正 整 数 上 ,使 得 p= 二 急 十 1, 于 是 (p 一 1)/2 二 2k。 从 而 


(了 (—D*=(—D*=1 


p 
车 p 二 1(mod 4), 则 存在 正 整 数 k, 使 得 p= 二 乱 十 1, 于 是 (p 一 1)/2 二 2k 十 1。 从 而 
一 1 2k 十 1 2k 十 1 
对) 一 有 (一直 1 国 


定理 4.4 设 p 是 奇 素数 , 则 
o (到 = (5) 
oj=( (9) 
(3) 若 (a,p)=1, 则 (所 ) = 1。 
思考 4.3 读者 能 否 给 出 一 些 例子 说 明 上 述 定理 。 
定理 4.5 设 p 是 奇 素数 , 则 
Dna 
例 4.6 证 明 2 是 模 17 的 平方 剩余 。 
证 明 : 根据 定理 4.5， 


2 I il 
(七 ) (一 De = (一 1) | 


因此 ,2 是 模 17 的 平方 剩余 。 国 
定理 4.5 可 以 得 到 如 下 子 函 数 (比较 简单 , 仅 为 加 深 理解 ) 。 


int L TWo(const int a=2, int p) 


定理 4.6( 二 次 互 反 律 ) 设 p,g 是 互 素 的 奇 素数 , 则 


的 -om 的 


写成 一 个 子 函数 ,可 以 得 到 : 


int L MutualInverse (p,q) 
{ 


ES 
ES 


Retrm(- D3 7 L(gp; 
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二 次 互 反 律 提供 了 Lengendre 符号 的 递归 计算 方式 。 
例 4.7 证 明 3 是 模 17 的 平方 非 剩余 。 


证 明 : 
3 .11 (17 == 31 
多 -coss 国 -二 -cos-- 


因此 ,3 是 模 17 的 平方 非 剩 余 。 图 
例 4.8 判断 同 余 式 zx? 三 137 (mod 227) 是 否 有 解 。 
解答 : 因为 227 是 奇 素数 ,根据 定理 4. 4， 


EEC IE 


三 
) ( De 1 ( 1) 2 和 2 1 


计 ) ( D3 ( 到 ) (3) ( i 1 
5 5 


故 同 余 式 zx? 三 137 (mod 227) 无 解 。 
由 上 述 的 定理 和 推论 ,可 以 得 到 如 下 计算 Legendre 符号 的 算法 4. 4。 


[oo 
NIo 
~- 


算法 4.4 Legendre( 勒 让 德 ) 符 号 的 计算 方法 。 


/* int L FAST(int ay int p) 
/* 输入: 奇 素数 p>3, 整数 a, 且 0<a< p */ 
、 二 a 
/x 输出 : 勒 让 德 符号 ( 书 ) */ 
1. 如 果 a=0, 则 返回 0; 
2. 如 果 a=1, 则 返回 1; 
3. 令 =Zal, 其 中 al 为 奇数 ， 
4. 如 果 e 是 偶数 , 则 令 s=1; 否 则 , 如 果 p=1 或 7 oa 8), 则 令 s< 1 如 果 p=3 或 者 5 tod 8), 则 令 
Se 一 了 
5. 如 果 p=3 trod 4), al=3Apd 4), 则 令 ss; 
6. 令 p< pmdal; 
7. 如 果 al=1, 则 返回 s; 否 则 返回 s* LFAST (pl,al)。 


例 4.9 判断 同 余 式 
ZX 三 一 1] (mod 365) 

解答 : 365 可 分 解 成 2 个 素数 的 乘积 , 即 365 一 5，73 , 原 同 余 式 等 价 于 
zx? 三 一 1 (mod 5) 
人 ~ mod 73) 
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故 同 余 式 组 有 解 , 根 据 CRT, 同 余 式 组 中 的 每 个 同 余 式 均 有 2 个 解 ,2 个 同 余 式 的 2 个 解 
分 别 配 对 ,于 是 产生 4 个 同 余 式 组 ,4 个 同 余 式 组 的 解 即 为 原 同 余 式 的 解 。 因 此 , 原 同 余 
式 的 解数 为 4。 


A Rabin 公 钥 密码 系统 


前 面 4. 1 节 和 4.2 节 讨 论 了 二 次 同 余 式 以 及 平方 剩余 的 判定 ,它们 在 密码 学 中 的 一 
个 典型 应 用 就 是 Rabin 公 钥 密码 系统 了 。 

该 公 钥 密码 体制 基于 一 个 困难 问题 , 称 为 平方 根 问题 。 

定义 4.3 平方 根 问题 (SQROOT 问题 ) : 给 定 一 个 合 数 nn 和 a EQ,( 模 的 平方 剩 
余 集 合 ) , 找 a 模 的 平方 根 ; 即 找到 一 个 整数 xz, 使 得 x? 二 a mod n。 

但 是 ,如 果 知道 的 因子 p 和 9g, 那么 SQROOT 问题 就 很 容易 求解 。 方 法 是 先 求解 
a 模 p 和 模 g 的 解 ,然后 利用 中 国 剩余 定理 得 到 a 模 n 的 平方 根 。 
于 是 ,可 考虑 将 nn 作为 公 钥 , 将 p 和 9g 为 私 钥 。 
图 4.3 给 出 了 这 一 困难 问题 的 示意 图 。 


modn 


n=pq 
y=x modp 
y=w modg 


图 4.3 Rabin 利用 单 向 陷 门 函数 的 原理 示意 图 


Rabin 公 钥 密码 系统 的 描述 : 


(1) 密 钥 的 产生 : 随机 生成 两 个 大 的 素数 p 和 9g. 满足 p 三 g 三 3 mod 4, 计 算 n= pg。 
nn 为 公 钥 ,p,q 作为 私 钥 。 
(2) 加 密 : c==m? mod n。 
(3) 解密 : 解密 就 是 求 < 模 ?的 平方 根 , 即 解 x? 二 c mod n, 该 方程 等 价 于 方程 组 
Zz’ 三 c (mod p) 
[a 三 c (mod g) 
由 于 p 夺 gq 三 3 mod 4, 可 容易 地 求 出 c 在 模 p 下 的 2 个 方程 根 
mc#+V/ mod p 
mp—ct+ st mod p 


和 cc 在 模 g 下 的 2 个 方程 根 : 


@ ”Rabin 公 钥 密码 体制 是 1979 年 由 MIT 的 M. O. Rabin 在 其 论文 “Digitalized Signatures and PublicKey 
Functions as Intractable as Factorization” 中 提出 。 
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mc mod g 
m=g—c‘+d/ mod g 
两 两 组 合 联 立 , 可 得 4 个 方程 组 : 
m=c++d/4 mod p 
RE modg 
mp—c*+ 4 mod p 
ER modg 
m 三 c+ mod p 
a modg 


a modp 


一 ce+DA 


m=qg modg 


利用 中 国 剩 余 定理 求 得 4 个 mm, 其 中 必 有 一 个 m 为 明文 。 这 通常 可 以 通过 在 明文 
中 事先 引入 某 些 特征 (如 发 送 者 的 身份 号 日 期 等 事先 约定 的 特征 ) 来 区 分 。 


对 该 密码 方案 的 解释 : 
思考 4.4 为 什么 取 p 三 gq 三 3 mod 4。 
目的 是 为 了 能 快速 的 求 出 平方 根 。p 夺 3 mod 4 时 ,zx? 三 c mod p 的 平方 根 容易 求 出 。 
由 p 三 3 mod 4, 得 p 十 1 二 44, 即 (p 十 1)/4 是 一 个 整数 。 设 x 三 c mod p 的 根 为 y, 即 
yc mod p。 
因 c 是 模 p 的 二 次 剩余 , 故 c?-? 了 ?三 (y?)%-? 了 二 y?-! 二 ] mod p。 
于 是 ， 


+1 p+1 pt1 
(c* )’=(y 1 7) 一 c ?Sct 0/ 


“cc mod p 
故 cco+D4 和 力 一 coo+D04 是 方程 三 C mod p 的 两 个 根 。 同 理 ,c+?4 和 g 一 ct+D4 是 方程 
XxX!: 三 c mod g 的 两 个 根 。 
思考 4.5 为 什么 解 x 二 c mod n 方程 等 价 于 解 方程 组 全 国 、 
ze (modo) 
下 面 证 明 一 个 一 般 的 结论 : 当 p,qg 是 素数 .n 二 pg 时 ,4a 三 b mod n 等 价 于 方程 组 
. 三 b (mod p) 


2 三 c (mod p) 


a 三 b (mod g) 


a 三 b (mod p) 


证 明 ， 若 { , 盖 刘 太一 区 | 全 二 六 面 卫 本 太太 二 本 庄 必 两 | 人 一 


a 三 b (mod g) 
b), 即 46 mod pq。 
反之 ,车 a 夺 b mod 0; 则 nl(a 一 D), 由 pln,gln, 得 pl(a 一 b),g|l(a 一 5), 即 
a 三 b (mod p) 加 
1 (mod g) 
例 4.10 Rabin 方案 的 举例 。 假 设 私 钥 为 p 王 7,g 一 11(p,q 模 4 余 3), 公 钥 为 4 二 
pg 二 77, 明 文 m 二 32, 则 密 文 为 c= 二 m? mod xz 一 322 mod 77 二 23。 下 面 分 析 解 密 密 文 23 的 
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过 程 。m 二 Vc mod 77。 分 别 求 模 p,g 的 平方 根 。 
237+1 三 22 三 4 mod 7 
230+/ 三 1 三 1 mod 11 
23 模 7 和 模 11 的 平方 根 是 士 4 和 士 1, 然 后 利用 中 国 剩余 定理 ,计算 得 到 23 模 77 的 
4 个 平方 根 , 士 10, 士 32 (mod 77) ,4 个 可 能 的 明文 10,32,45,67。 在 实际 中 ,通过 预先 在 
明文 中 加 入 识别 特征 (例如 约定 添加 特殊 标识 符号 到 明文 的 末尾 .或 者 将 明文 重复 1 次 再 
连接 后 作为 新 的 明文 , 即 m==m| 1m) ,可 以 从 4 个 可 能 的 明文 中 选 出 正确 的 明文 。 
由 于 Rabin 加 密 算法 十 分 简单 ,下 面 重点 解释 解密 算法 。 
定理 4.7 设 p,g 是 形 为 4k 十 3 的 不 同 素数 ,如 果 整 数 a 满足 


-= 
p 4 
则 同 余 式 xz? 夺 a (mod pg) 有 解 
= 二 (avdA( mod p)). (gi!'( mod p))*g 
土 (atdA( mod gqg)) » (pT'( mod g)) » p (mod pg) 
证 明 : 二 次 同 余 式 x? 夺 a (mod pg) 等 价 于 同 余 式 组 
Zz’ 三 a (mod p) 
1 三 a (mod g) 
因为 (各)] = (各 ] = 1 所 以 由 思考 4.5, 同 余 式 x 二 a (mod p) 有 解 ,其 解 为 
立 王 十 cotD4( mod p) 
同样 地 , 同 余 式 x 三 a (mod qg) 有 解 ,其 解 为 


(td/4( mod gq) 


工 一 士 & 
根据 中 国 剩余 定理 , 同 余 式 组 的 解 为 
工 一 士 CaoetD4C mod 六 ))。(qCmod p))"g 
士 Cast4Cmoddg))。 (CpGCmoddq)) p ( mod pg) 
这 即 为 同 余 式 x? 三 a (mod pg) 的 解 。 国 
根据 定理 4.6 给 出 Rabin 解密 的 算法 。 


算法 4.5 Rabin 解密 算法 。 


/* 输入: 密 文 c, 私 钥 p,qp,q 均 为 kt 3 的 素数 , n=pg) * / 

/* 输 出 :明文 m */ 

RabinDecrypt (c,p, { 

. 利用 扩展 的 欧 几 里 得 除法 , 求 整数 s, t, 使 得 sp+ tq=1 

计算 二 cea modp 

计算 cw*% modq 

. 计算 m= (utqt vsp) mod n/t 即 定理 4.6 中 gq? todp), s 即 5: tod 

- 计算 me= (utq-vsp) modn 

. 同 余 式 下 三 c modn) 的 4 个 根 是 mu, n-ml,m2, n-mo, 确定 其 中 哪 一 个 根 为 明文 。 


一 
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思考 4.6 ”Rabin 加 密 可 否 视 为 RSA 加 密 的 特例 ? 

其 实 ,Rabin 加 密 不 是 RSA 加 密 的 特例 。 因 为 RSA 加 密 中 的 私 钥 e 必须 有 gcd(e， 
Bn)) 二 1, 而 B(n) 二 (p 一 1)(g 一 1) 为 偶数 , 故 。 必 为 奇数 。 但 是 ,Rabin 加 密 中 使 用 的 索 
次 是 2, 为 偶数 。 


[1] 求 模 p= 二 13, 23, 31, 37, 47 的 平方 剩余 和 平方 非 剩余 。 
[2] 求 满足 方程 ;y= 二 x 一 3+ 十 1 (mod 7) 的 所 有 点 。 


器 计生 Lead 从 3( 邓 )( 浊 ) 起) (起 

[4] 编写 程序 Legendre 符号 ,验证 题目 [3] 的 结果 。 

[5] 同 余 式 是 否 有 解 x? 硅 7 (mod 227) ,x? 寺 2 (mod 401。281) 。 
[6] 编写 程序 实现 300 十 进 制 位 的 Rabin 公 钥 密码 系统 。 


S 痘 
所 5 并 原 根 与 指数 


在 研究 了 2 次 剩余 之 后 ,下 面 讨论 n 次 剩余 。 
讨论 使 得 同 余 式 
w“=1 (mod m) 
成 立 的 整数 n。 

这 里 主要 关心 最 小 的 正 整数 e, 因 为 找到 了 e, 则 e 的 倍数 均 为 上 式 的 解 。 另 外 ,由 
Euler 定理 可 知 : 当 (a,m) 二 1 时 ,有 a”” 三 1 (mod m)。 于 是 ,值得 关心 的 一 个 问题 ,就 
是 这 个 最 小 的 正 整数 e 会 不 会 就 是 p(m) ,什么 情况 下 就 是 p(m) 。 

本 章 的 重点 是 原 根 、 阶 及 其 计算 方法 。 难 点 是 DH 密 钥 协商 和 ElGamal 公 钥 密码 
系统 。 


5.1 ” 原 根 和 阶 的 概念 


定义 5.1 设 m1 是 整数 ,a 是 正 整数 ,(a,m) 三 1, 则 使 得 
a* 三 ] (mod m) 
成 立 的 最 小 正 整 数 z+ 叫 作 a 模 m 的 阶 (Order)。 记 为 ord, (a)。 
例 5.1 设 整数 m=7, 计 算 a=1,2,3,4,5,6 的 阶 。 
解答 : 1!' 寺 1 (mod 7) 2 三 ] (mod 7) 3 三 一 ] (mod 7) 
t= (md 7 5:E(=2RE=1(mod?7)0e(=1l (mod7y 


a 1 2 3 4 5 6 


ordn (a) 1 3 6 3 6 2 


容易 看 到 ,由 于 p(m)= g(7) = 6, 于 是 ,ord, (a) 中 最 大 为 6。 

定义 5.2 原 根 (Primitive Root)。 如 果 ord, (4) 二 qb) , 则 a 叫做 mm 的 原 根 。 

思考 5.1: 原 根 的 英文 可 能 初学 者 觉得 很 难 理解 ,如 果 称 为 “生成 元 (generator)” 可 
能 更 容易 理解 这 个 “本 原 (Primitive)” 的 含义 , 即 可 以 生成 群 中 其 他 所 有 元 素 的 “本 原 ” 元 。 

容易 看 到 ,在 例 5.1 中 ,因为 3 和 5 的 阶 为 g(7), 所 以 3 和 5 为 原 根 。 

从 生成 元 的 角度 更 加 容易 理解 ,但 需要 群 的 概念 。 群 (Z/7Z)" 中 元 素 的 个 数 为 
9g(7) 二 6, 因 为 3 和 5 的 指数 为 pg(7), 故 3 和 5 可 以 生成 群 (Z/7Z)* 中 的 任意 元 素 ( 即 
1~6)。 
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首先 考查 3: 

mod 7 3 三 2 (mod 7) 3 二 6 (mod 7) 

3 三 4 (mod 7) 3 三 5 (mod 7) 3 三 ] (mod 7) 

容易 看 到 ,在 图 5.1 中 .3 可 以 生成 群 中 的 元 素 1 一 6 。 

再 来 考查 5: 

5! 二 5 (mod 7) 5*=4 (mod 7) 5 二 6 (mod 7) 

5 三 2 (mod 7) 5 二 3 (mod 7) 5 二 =] (mod 7) 

除了 3 和 5 外 ,其 他 都 不 是 原 根 ,因为 其 指数 均 小 于 pg(7)。 即 无 法 生成 “所 有 ”元 素 ， 
“ 回 到 原点 ”1 的 过 程 过 快 ,导致 只 能 生成 群 中 的 “部 分 "元素 。 

考查 2: 

2!=2 (mod 7) 22=4 (mod 7) 2 二] (mod 7) 


32=2(mod 7) 31=3mod7) 21=2(mod 7) 


33=6(mod7) 3°=1(mod 7) 23= Itmod 7) 


34=4mod7) 35=5(mod7) 22=4mod7) 


图 5.1 3 作为 生成 元 生成 (Z/7Z)" 中 所 有 元 素 图 5.2 2 只 能 生成 (Z/72Z)" 中 3 个 元 素 


容易 看 到 ,在 图 5. 2 中 ,2 无 法 生成 3.5,6。 
从 上 述 两 个 图 示 ,就 容易 理解 为 什么 原 根 的 阶 为 P(mz) 了 。 
下 面 看 一 个 m 不 为 素数 的 例子 。 
例 5.2 设 整 数 x=14, 计 算 a=1,3,5,7,9,11,13 的 阶 , 指 出 其 中 的 原 根 。 
解答 : 1 二 1 (mod 14) 3; 三 一 ] (mod 14) 5’ 二 一] (mod 14) 
9 二 1 (mod 14) 11? 三 1 (mod 14) 13: 三 1 (mod 14) 


a 3 5 9 11 13 


ordn (a) 1 6 6 3 3 2 


由 于 g(14) 一 8(2)。9p(7) 一 pg(7) 一 6, 因 此 原 根 为 3 和 5。 
下 面 的 定理 给 出 了 计算 阶 的 一 个 算法 依据 。 
定理 5.1 设 m 记 1 是 整数 ,a 为 整数 ,(a,m) 二 1, 则 整数 a 使 得 
as 三 1 (mod m) 
成 立 的 充 要 条 件 是 
ord, (a)ld 

证 明 : 先 证 明 充 分 性 。 如 果 ord,, (a) |d .那么 存在 整数 &, 使 得 d= 二 kord, (a)。 因 

此 ,有 
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ad 一 (a ®t 1 (mod m) 
再 证 明 必 要 性 。 如 果 ord,, (a) 1d 不 成 立 , 则 存在 整数 g,r, 使 得 
= ordn (a) * g++r, 0=r=ord, (a) 
从 而 ， 


dad = a (an®) )e a (mod m) 
a 二 1 (mod m) 


a’ 二 1] (mod m) 
这 与 ord, (a) 的 最 小 性 矛盾 。 于 是 有 ord,, (a) 1d。 国 
推论 设 m 二 1 是 整数 ,a 为 整数 ,(a,m) 二 1, 则 ordn (a) | glim) 。 
证 明 根据 Euler 定理 ,有 
a”™® 1 (mod m) 
由 定理 5. 1, 于 是 ord,, (a)| p(Cm) 。 图 
由 上 述 推论 可 知 , 可 以 从 glm) 中 寻找 ord, (a)。 
例 5.3 求 整数 5 模 17 的 阶 ordr (5)。 
解答 :因为 (17) 王 16, 只 需要 对 16 的 因数 d 二 1,2,4,8,16 计算 5*(mod 17) ,看 是 否 
等 于 1。 因为 
5 三 5 (mod 17) 5 三 8 (mod 17) 54 圭 64 三 13 三 一 4 (mod 17) 
(4 {mod17) 5*(—1)1 (mod 17) 
所 以 5 是 模 17 的 原 根 。 
有 了 原 根 的 概念 后 ,可 以 给 出 指数 (Index) 的 概念 。 
定义 5.3 设 g 是 正 整 数 m 的 原 根 , 若 gcdCe ,xm) 王 1, 则 称 同 余 式 
ga (mod m) 
的 唯一 整数 解 z-(1 三 + 二 GB(mm)) 为 a 模 m 以 g 为 底 的 指数 (Index) ,也 称 为 指标 或 离散 对 
数 , 记 为 Inds,a(a) ,或 简 记 为 Indsa 。2 
离散 对 数 问题 是 一 个 计算 上 的 困难 的 问题 ,目前 还 没有 找到 有 效 的 算法 。5. 3 节 和 
5.4 节 会 给 出 基于 该 困难 问题 构造 的 密码 系统 。 第 11 章 会 讲解 离散 对 数 算法 。 
例 5.4 设 m=7, 由 例 5.1 可 知 ,3 为 原 根 。 计 算 指数 表 。 


解答 了 
a 1 2 3 4 5 6 
Indsa 6 2 1 4 5 3 


思考 5.2:“ 阶 ”和 “指数 ”的 主要 区 别 是 什么 ? 
容易 看 到 , 阶 与 模 m 和 整数 a 有关, 指数 则 与 模 ,整数 a 以 及 底 ( 原 根 5) 有 关 。 阶 


@ 有 些 书籍 在 英 译 方面 把 ord 译 为 “指数 ”, 而 用 “指标 ”表示 离散 对 数 。 本 书 倾向 于 ord 译 为 “ 阶 ”的 缩写 ,“ 指 
数 ” 和 “指标 ”与 离散 对 数 等 同 ,缩写 为 ind。 


51 


ee 信息 安全 数学 基础 一 一 算法 、 应 用 与 实践 sss 


可 以 用 来 判断 原 根 , 指 数 主要 用 来 计算 元 素 相对 于 原 根 的 离散 对 数 。 
定理 5.2 (指数 定理 ) 若 g 是 模 m 的 一 个 原 根 , 则 g* 圭 g*(mod m) 当 且 仅 当 zx 二 y 
(mod g(m)), 
证 明 : 假设 + 二 y (mod g(m)), 则 z=y 十 kg(m),kEZ, 所 以 
gS= gm (mod m) = gg mod m) = gl:(mod m) = 5 (mod m) 
必要 性 留 作 练习 。 国 
这 个 证 明和 RSA 的 解密 过 程 有 相似 之 处 。 
定理 5.3 设 g 是 模 素数 p 的 一 个 原 根 ,是 gcd(a,p)= 二 1, 则 g* 寺 a (mod p) 当 且 
仅 当 
kindia (mod (p—1)) 
定理 5.4 设 m 是 有 原 根 g 的 正 整 数 ,a 与 b 是 与 m 相互 素 的 整数 , 则 
(1) 着 5b 三 a (mod 加 ), 则 indsa 三 indga。 
(2) inds1 0 (mod yg(m))。 
(3) inds (a * b) Eindsa +indsb (mod yg(m))。 
(4) indsa* 三 有 indsa (mod glm)),k 是 一 个 正 整 数 。 
定义 5.4 设 m 是 大 于 1 的 整数 ,a 是 与 m 互 素 的 整数 ,如 果 n 次 同 余 式 
7" 三 a (mod m) 
有 人 解 , 则 a 叫做 模 wm 的 次 剩余 。 否则 .a 称 作 模 m 的 ”次 非 剩 余 。 
定理 5.5 设 m 是 大 于 1 的 整数 ,g 是 模 m 的 原 根 ,a 是 与 m 互 素 的 整数 , 则 同 余 式 
"三 a (mod m) 
有 解 的 充 要 条 件 是 
(ns pm)) | indsa 
且 在 有 解 的 条 件 下 ,解数 为 (n, gp(m))。 
证 明 : 由 同 余 式 xz" 三 a (mod mm) 和 (a,m) 二 1, 可 得 (z+,m) 二 1, 于 是 以 g 为 底 的 z 的 
对 模 m 的 指数 存在 , 设 为 y, 即 三 g*(mod m), 同 余 式 可 转化 为 : 
g* 三 a (mod m) 
由 定理 5.5 可 知 
ny indsa (mod 9(m)) 
这 是 关于 y 的 一 次 同 余 式 ,根据 定理 3.1, 其 有 和 解 的 充 要 条 件 是 (x, glxm))| indsa , 且 
解数 为 (n,，g(m))。 国 
例 5.5 求解 同 余 式 人 “二 16 (mod 17) 所 有 解 。 
解答 : 两 边 取 底 为 5 模 17 的 指数 ,得 到 
ind (4*) inds 16 二 8 (mod 16) 
即 
inds(4*) = zx* inds4 = 12zx = 8 (mod 16) 
因此 


127z = 8 (mod 16) 
利用 一 次 同 余 式 的 解法 (定理 3.1), 因 为 (12,16) 二 4, 因 此 12xr 三 8 (mod 16) 有 4 个 
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不 同 余 的 解 ,为 
zr 三 14, 2, 6, 10 (mod 16) 
这 即 为 同 余 式 人 “三 16 (mod 17) 的 所 有 解 。 


_ 原 根 与 阶 的 计算 


不 是 所 有 的 模 n 都 有 原 根 , 下 面 的 定理 给 出 存在 原 根 的 条 件 : 
定理 5.6 模 m 的 原 根 存在 的 充 要 条 件 是 mm 二 2,4,p",p”, 其 中 p 是 奇 素数 ,a 是 一 
个 正 整 数 。 
定理 5.7 设 m1,9lm) 的 所 有 不 同 素 因 子 是 qi ,qs，…gqi, 则 g 是 模 m 的 一 个 原 根 
的 充 要 条 件 是 
gl (mod m), i=1,"…,k 
证 明 : 先 证 明 必要 性 。 设 g 是 模 m 的 一 个 原 根 , 则 g 模 m 的 阶 是 $(m)。 但 是 
0<gp(m)/gi<p(m), i=1,*,k 
由 原 根 的 定义 知 ， 
g” "1 (mod m), i=1,"…,k 
再 证 明 充 分 性 。 
车 g 模 m 的 指数 ce 二 gp(m), 则 根据 定理 5. 1 的 推论 ,有 elp(m) ,于 是 存在 一 个 素数 


4 使 得 g | 各。 于 是 ,根据 整除 的 定义 ,存在 一 个 整数 ,有 


Gmn) 
e 


gi 
即 


于 是 


g*™® I= (g*)*l (mod m) 

这 与 假设 矛盾 。 国 

定理 5. 8 其 实 给 出 了 求 原 根 的 算法 的 基础 。 

例 5.6 求 41 的 一 个 原 根 。 

解答 : p(41) 一 40 一 2 。5, 素 因子 为 2 和 5。gp(41)/2 一 20,g(41)/5 一 8。 因 此 ,只 需 
要 验证 gs ,g” 模 m 是 否 同 余 于 1。 对 于 2,3,… ,逐个 验算 : 

2 三 10 (mod 41) 22% 三 1 (mod 41) 3 三 ] (mod 41) 4 三 18 (mod 41) 

4” 三 ] (mod 41) 5 二 18 (mod 41) 6 二 10 (mod 41) 6” 二 40 (mod 41) 

因此 ,6 是 模 41 的 原 根 。 

定理 5.8 设 m>1 的 整数 ,a 为 整数 且 (a,m) 二 1,d 宇 0 为 整数 , 则 


as= a (mod m) 


的 充 要 条 件 是 
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d 二 k (mod ord, (a)) 
证 明 : 根据 欧 几 里 得 除法 ,存在 整数 g,r 和 g .~ ,有 
= ordn(a)g+r, 0 <r<ord,(a) 
k= ord,(a)g +r, 0<r <ord,(a) 
又 ae (a) 三 1 (mod m) ,于 是 
a a Nara" (mod m) 
a*=a"h Wg" =a" (mod m) 
必要 性 得 证 。 若 a* 寺 a* , 则 a 三 a” (mod m) ,于 是 r= ,有 d 硅 k(mod ord,, (a)) 
以 上 步 步 可 闭 , 知 充分 性 。 国 
例 5.7 因为 整数 2 模 7 的 指数 为 ordi(2)==3.2015 三 2 (mod 3), 因 此 ， 
2255= 22(mod 7) 
2.1 节 的 例 2.1 曾经 给 出 一 个 实际 的 应 用 例子 。 
定理 5.9 设 罗 1 的 整数 ,a 为 整数 且 (a,m) 二 1,d 三 0 为 整数 , 则 
ord (a) 
(ordn, (a).d) 
思考 5.3: 如 何 利用 图 5. 1 和 图 5. 2 给 出 一 个 对 定理 5. 10 的 直观 解释 。 
如 图 5. 3 所 示 。 通 俗 地 说 ,以 原 根 3 为 度量 ,2 二 3* (mod 7) , 视 为 2“ 行走 ”1 步 相当 于 
3 行走 ”2 步 ,于 是 对 于 2 而 言 ,“ 行 走 ” 一 周 6 步 就 需要 6/2=3 步 , 即 ord1 (2) 二 3。 


六 二 2(mod 7) a ord(a) 
3E2mod7) 31=3(mod7) | "Tord, 
ordz3) __56 


(ord7(3),2) (6,2) 


ordn (a”) = 


ord;(2)=ord;(33)= = 


35= 1(mod 7) 


23= lmod7) 


33=6(mod 7) 


34=4(mod 7) 35= 5(mod 7) 


22=4mod7) 


图 5.3 帮助 初学 者 理解 的 定理 5. 10 的 直观 解释 


推论 1: 设 mm 二 1 是 整数 ,g 是 模 wm 的 原 根 ,qd 三 0 为 整数 , 则 g? 是 模 m 的 原 根 , 当 且 
仅 当 (d,@(0m))=1。 

推论 2: 设 mm 二 1 是 整数 ,mx 有 $B(B(m)) 个 不 同 的 原 根 。 

例如 , 设 素数 p= 二 47, 则 存在 8(47 一 1) 二 22 个 模 47 的 原 根 。 

目前 还 没有 一 种 方法 可 以 预知 一 个 给 定 素数 p 的 最 小 原 根 ,对 B(p 一 1) 个 原 根 在 模 

p 的 最 小 剩余 系 中 的 分 布 也 知之 其 少 。 

定理 5.9 给 出 了 从 一 个 原 根 求 其 他 原 根 的 算法 基础 。 

例 5.8 已 知 6 是 41 的 原 根 , 求 41 的 所 有 原 根 。 

解答 : 由 定理 5.9 知 ,(d, p(41)) 王 1 时 ,ordu (g*) 一 ordu (g), 因 此 , 当 4d 遍历 模 
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gp(41) 二 40 的 简化 剩余 系 , 即 
1,3,7,9,11,13,17,19,21,23,27,29,31,33,37,39 

共 w(pC41)) 一 16 个 数 时 ,6* 遍历 41 的 所 有 原 根 。 即 

6! 三 6 (mod 41) 6 二 11 (mod 41) 6’=29 (mod 41) 6°19 (mod 41) 

6!1=28 (mod 41) 6 三 24 (mod 41) 6'=26 (mod 41) 6*”=34 (mod 41) 

6 三 35 (mod 41) 6”=30 (mod 41) 6”=12 (mod 41) 6”=22 (mod 41) 

6 二 13 (mod 41) 6*3=]17 (mod 41) 6”=15 (mod 41) 6*”=7 (mod 41) 

综合 定理 5.7 和 定理 5.9, 构 成 了 求 原 根 的 算法 基础 。 


算法 5.1:GetPrimitiveRoot()。 


/* 原 根 算法 , 输出 给 定 素数 的 所 有 原 根 。 */ 
/* 输入 :素数 模 m, 以 及 m-1 的 素 因 子 分 解 w 二 pa pe…Pes x*/ 
/* 输出:m 的 所 有 原 根 x/ 


{ 

1. 随机 选择 一 个 数 a, 2<a<m 1; 

2. 对 并 从 1 到 k 执 行 如 下 计算 : // 求 一 个 原 根 
计算 ba dm 
如 果 b= 1 则 转 到 步 又 1; 

3. 对 d 从 1 到 m1, 执行 如 下 计算 : // 求 其 他 所 有 原 根 
车 gcd(g, m1)= 14, 则 输出 过 pam; 


思考 5.4: 根据 定理 5.9 给 出 了 求 阶 表 的 算法 。 输 入 为 素数 模 和 原 根 ,输出 为 阶 表 。 


算法 5.2: GetOrder() 。 


/x* 输出 阶 表 的 算法 。 */ 
/* 输 入 :素数 模 m, 原 根 a */ 
/¥#* 输出 : 阶 表 < 元 素 , 阶 > */ 


{ 
对 评 从 1 到 m1 执行 如 下 计算 : 
Retum a {rod m), (m1)/gcdfr 1,i); 


定理 5.10 设 m1 是 整数 .a 为 整数 且 (e ,xz) 王 1, 则 
(1) 设 a 7! 使 得 a 'a 三 1 (mod m), 则 ord, (a !) 三 ord,, (a)。 
(2) 车 6b 三 a (mod m), 则 ord, (46) 一 ord (a)。 
证 明 :(1) 因 为 
人 not 
所 以 ， 
ordn (a™!)|ord, (a) 
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同 理 可 证 ,ord, (a)| ord, (a™!), 于 是 有 ord,, (a 1) 一 ord (a)。 
(2) 车 4b 三 a (mod mm), 则 
bn =a = 1 (mod m) 

于 是 ord,, (5) 1ord,, (a)。 同 理 可 证 ord,, (a)|1ord, (5) ,于 是 ord,, (5) 二 ord,, (a)。 图 

该 定理 结论 (1) 也 可 以 从 图 5. 3 中 有 直观 的 解释 ,3 和 5 互 为 逆 元 ,5 相当 于 “ 反 着 走 ” 
了 一 圈 ( 如 图 5.4 所 示 )。 因 为 5“ 走 ”1 步 到 5,5“ 走 ”2 步 到 4, 以 此 类 推 ,5“ 走 ”6 步 到 1。 
所 以 5 的 阶 为 6。 

同 理 ,2 和 4 互 为 逆 元 ,也 可 以 画 个 类 似 的 示意 图 ,如 图 5.4 所 示 。 


5+=2(mod 7) 55=3(mod 7) 


53=6(mod7) 55= 1(mod 7) 


一 -一 
52= 4(mod 7) 5!=5(mod 7) 


图 5.4 帮助 初学 者 理解 的 对 定理 5. 10 的 直观 解释 


下 面 的 定理 将 原 根 、 阶 以 及 简化 剩余 系 等 概念 联系 到 一 起 。 
定理 5.11 设 m 记 1 是 整数 ,a 为 整数 且 (a,m) 二 1, 则 
l= = 


模 两 两 不 同 余 。 特 别 地 , 当 a 是 模 m 的 原 根 , 即 ord;, (4a) 三 BCm2) 时 ,这 B(xm) 个 数组 成 


模 m 的 简化 剩余 系 。 
证 明 : 反 证 法 。 如 果 ord, (a) 个 数 中 有 两 个 数 模 m 同 余 , 则 存在 整数 0 三 k, 1 和 
ord,(a) ,使 得 


a*=a! (mod m) 
不 妨 设 A>1, 则 由 (ea,z) 王 1 和 定理 2. 4, 得 到 

ae 和 =1] (mod m) 
但 是 0<k,1ord, (a) ,这 与 ord, (a) 的 最 小 性 矛盾 。 因 此 , 原 结论 成 立 。 
当 a 为 原 根 时 , 即 ord,, (4) 二 B(m) 时 ,共有 BOm) 个 数 


es m)— 
1=a ,sal ae 1 


且 模 m 两 两 不 同 余 ,由 定理 2.8 知 , 这 BCm) 个 数组 成 模 m 的 简化 剩余 系 。 国 
在 第 6 章 将 看 到 , 模 m 的 简化 剩余 系 构 成 一 个 乘法 群 ,其 生成 元 为 a,a 生成 了 该 群 
中 的 所 有 元 素 。 这 个 群 其 实 还 是 一 个 循环 群 。 


3 Diffie-Hellman 密 钥 协商 


原 根 和 指数 ,尤其 是 循环 群 的 原 根 ,在 密码 学 中 有 重要 的 应 用 。 例 如 ,基于 离散 对 数 
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问题 的 Diffie-Hellman 密 钥 协商 协议 ,以 及 基于 DH 密 钥 协商 协议 的 ElGamal 公 钥 加 密 
系统 。 
问题 的 提出 : 
在 定义 2.7 密码 系统 的 注解 中 曾经 指出 对 称 密码 中 加 密 密 钥 和 解密 密 钥 是 相同 的 ， 
此 ,对 称 密码 的 困难 之 处 有 两 点 : 
(1) 密 钥 的 管理 。 对 称 加 密 中 加 密 解 密 双方 使 用 相同 的 密 钥 ,因此 每 一 对 加 密 方 和 
解密 方 就 需要 一 个 密 钥 。 而 且 , 密 钥 必 须 保密 ,因此 对 密 钥 的 存储 和 管理 难度 增 大 。 
(2) 当 加 密 方 和 解密 方 在 不 同 地 理 位 置 时 ,通信 双方 如 何 确定 一 个 秘密 的 密 钥 ,或 者 
是 通信 发 送 方 如 何 将 密 钥 传递 给 通信 接收 方 ,都 不 是 很 容易 的 事情 。 
思考 5.5: 对 于 共 及 个 通信 方 的 两 两 通信 ,需要 多 少 密 钥 ? 
对 称 密码 需要 的 密 钥 数量 : 对 单个 个 体 而 言 ,需要 保存 n 一 1 个 秘密 密 钥 ;对 总 体 而 
,需要 保存 n(n 一 1)/2 个 秘密 密 钥 。 
定义 3.2 曾经 指出 , 公 钥 密码 使 用 公开 的 公 钥 进行 加 密 和 保密 的 私 钥 进行 解密 。 需 
要 的 密 钥 数量 : 对 单个 而 言 ,需要 保存 n 公 钥 和 1 个 私 钥 , 对 总 体 而 言 ,需要 保存 n 个 公 
钥 和 个 私 钥 。 所 需 密 钥 的 数量 减少 ,而 且 需 要 秘密 保存 的 密 钥 数量 大 量 减少 。 
因此 ,需要 解决 的 一 个 安全 问题 是 : 在 公开 信道 上 如 何 协 商 一 个 秘密 密 钥 ,用 于 后 续 
的 对 称 密码 加 密 通 信 。 
W. Diffie 与 M. Hellman 利用 离散 对 数 问题 的 困难 性 ,在 1976 年 提出 了 Diffie- 
Hellman 密 钥 协 商 协议 。 
首先 看 离散 对 数 问题 中 的 某 种 单 向 性 ( 见 图 5. 5) : 
设 G 是 生成 元 为 5 的 n 阶 循环 群 , 则 
(1) 给 定 整数 ,计算 元 素 g* 是 容易 的 ; 
(2) 给 定 G 中 元 素 y ,计算 整数 zx,1 三 x 三 n, 使 得 8 = y 通常 被 认为 是 困难 的 (is 
believed to be hard) 。 


EH 


芭 


g' 


+ 一 难 gg 
图 5.5 离散 对 数 问题 的 单 向 性 示意 图 


“被 认为 是 困难 的 ?是 指 目前 公认 是 困难 的 ,也 就 是 说 ,目前 没有 高 效率 (如 多 项 式 时 
间 复 杂 性 ) 的 算法 来 解决 这 一 问题 ,但 也 没有 人 能 够 证 明 其 就 是 困难 的 。 

下 面 给 出 一 个 较 严 格 的 定义 (需要 用 到 第 6 章 中 群 的 概念 ) 。 

定义 5.5 乘法 群 Z; 上 的 离散 对 数 问题 (Discrete Logarithm Problem， DLP) :给 定 
一 个 素数 p ,乘法 群 Z; 上 的 生成 元 g ,以 及 Z; 上 随机 选取 的 元 素 y ,寻找 整数 z,2 委 zx 所 
pp 一 2, 使 得 > 一 g* mod p。 这 个 整数 x 记 为 logsy , 称 为 离散 对 数 。 

易 知 ,Z; 中 元 素 的 个 数 为 p 一 1, 即 {1,2,…,p 一 1)。 

Diffie-Hellman 密 钥 协商 协议 是 2 轮 协议 , 即 共有 2 个 消息 在 信道 中 传递 。 每 个 通 
信 方 发 送 1 个 消息 ,并 接收 1 个 消息 。 协 议 的 描述 如 下 ,如 图 5.6 所 示 。 
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(1) A 随机 选择 aE[2,p 一 2], 计 算 Y, 二 gmod p, 将 Y, 发 送 给 B; 
(2) B 随机 选择 65E[2,p 一 2], 计 算 Y, 二 g* mod p. 将 YY 发 送 给 A; 
4 B 


4 随机 选择 as [2,p-2] 
计算 Y=g* modp F 


B8 随 机 选择 he [2,p-2] 
计算 ?=g* modp 


图 5.6 DiffieHellman 密 钥 协商 过 程 


协议 交互 完 


之 间 的 后 续 通 信 可 以 使 用 这 个 密 钥 进行 加 密 。 

例 5.9 p= 二 41 是 一 个 素数 ,(Z/412Z)" 是 一 个 乘法 循环 群 ,生成 元 为 6。 
实体 A 生成 随机 整数 a 二 6, 计 算 Y 6 mod 41 王 39, 将 Y, 发 送 给 B; 
实体 B 生成 随机 整数 b= 二 29, 计 算 立 二 62 mod 41 一 22 ,将 YY 发 送 给 A。 
A 用 自己 的 a 和 收 到 的 Y, 计算 : 

22 (mod 41) 21 
B 用 自己 的 b 和 收 到 的 Y。 计算 : 

392 (mod 41) 21 


协商 后 的 秘密 密 钥 是 21。 


作为 对 这 个 例子 的 演示 


nlgp =|9)X| 


Reading GPRC: /cygdrive/c/Program Files/PARI/.gpre ...Done 
GP/PARI CALCULATOR Uersion 2.3.4 (released) 
i686 running cyguin (ix86/GMP-4.2.1 kernel) 32-bit version 
compiled: Jul 12 2008, gec-3.4.4 (cygming special, gde 09.12, using dnd 6.125) 
(readline v5.2 enabled, extended help available) 
Copyright (C) 2699-2666 The PARI Group 


PARI/GP is free software, covered by the GNU General Public License, and 
comes WITHOUT ANY WARRANTY WHATSOEUER. 


Type ? for help, \q to quit. 


Type ?12 for how to get moral (and possibly technical) support 


= HO00000, primelinmit = 509000 
) gp > 6°6 X41 


> 6°29 Xul 
> 22°6 X41 
> 39°29 X41 


> 


图 5.7 对 Diffie Hellman 密 钥 协 商 ( 例 5.9) 中 计算 过 程 的 演示 
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成 后 ,A 方 以 Y," mod p 为 密 钥 ,B 方 以 Y,* mod p 为 密 钥 。A 方 和 B 方 


为 了 对 这 里 例子 有 更 直观 的 理解 ,图 5.7 给 出 一 个 使 用 计算 机 代数 系统 软件 PARI 
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思考 5.6: 为 什么 A 方 和 B 方 可 以 公开 地 协商 出 一 个 秘密 的 密 钥 ? 
A 方 计算 的 Ymod p 等 于 Y,* mod p。 这 是 因为 
Ymodp= (gmodp)*modp= (g)*modp 
Ymodp= (gmodp)modp= (g°)*modp 
而 且 协 商 的 过 程 是 公开 的 , 且 这 种 公开 的 过 程 是 安全 的 。 这 是 因为 : 

由 于 离散 对 数 问题 的 困难 性 ,敌手 即使 知道 Y, ,也 不 能 求 出 a, 即使 知道 Y, ,也 不 能 
求 出 56, 没有 a 或 者 6 ,敌人 无 法 计算 Yi mod p 或 者 Y,*mod p, 即 最 终 A 和 B 协商 出 来 
的 秘密 密 钥 。 

思考 5.7: 为 什么 是 a€[2,p 一 2]? 

若 a==1, 则 Y= 二 g* mod p 二 g,g 是 公开 的 ,于 是 敌手 可 以 从 Y。 推出 a; 若 a==p 一 
1, 则 YY, 三 g* mod p 三 1, 敌手 可 以 从 Y。 推 出 a。 于 是 ,a 为 1 或 者 p 一 1 均 不 合适 。 


Ba ElGamal 公 钥 密码 系统 


有 了 Diffie-Hellman 密 钥 协商 协议 的 基础 ,可 以 学 习 ElGamal 公 钥 加 密 系统 。 
ElGamal 公 钥 密码 系统 : 


(1) 密 钥 生 成 。 

用 户 A 随机 产生 一 个 大 素数 p 以 及 乘法 群 Z,. 的 生成 元 g, 随 机 选择 2<ap 一 2 
作为 私 钥 , 计 算 Y. 一 g" mod p。 

公 钥 为 (p,g,Y。) 

私 钥 为 a 

(2) 加 密 过 程 。 

用 户 B 用 A 的 公 钥 加 密 消息 mm ,得 到 密 文 。 
B 完成 如 下 过 程 : 

随机 选择 ,2 二 rp 一 2 

计算 w= g* mod p,v=mY,* modp 

密 文 为 : (u,v) 

(3) 解密 过 程 。 

A 解密 密 文 (u,v) 

得 到 明文 : m 二 v/u* mod p 


思考 5.8: ElGamal 加 密 与 DH 密 钥 协商 协议 之 间 的 “神似 之 处 ”在 哪里 ? 
ElGamal 加 密 是 一 种 公 钥 加 密 , 但 其 实质 上 是 对 称 加 密 中 的 仿 射 加 密 加 上 DH 密 钥 
协商 。 图 5. 8 给 出 了 一 个 示意 图 。 
解释 如 下 : 
ElGamal 加 密 后 密 文 有 2 个 部 分 (4.v) ,其 中 部 分 为 DH 密 钥 协 商 协议 部 分 ,v 为 
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u vy 


ElGamal 加 密 : | _DH 密 钥 协 商 协议 部 分 |+| 仿 射 加 密 部 分 
u=gtmodp v=m#K 这 里 K=(F modp 
ElGamal 解 密 : m=WKmodp 这 里 K=wmodp 
仿 射 加 密 部 分 为 什么 K 相 同 ? 


K=w modp-(g) modp 
天 =( 了 六 modp= {gy modp 


图 5.8 ElGamal 加 密 的 两 个 部 分 DH 密 钥 协商 协议 和 仿 射 加 密 


实质 性 加 密 部 分 。 
(1) v 实质 性 加 密 部 分 为 仿 射 加密 。 表 示 为 
v=m*K 
这 里 , 令 KK 为 加 密 方 和 解密 方 DH 密 钥 协商 产生 的 密 钥 。 即 
K=(Y.) modp 
Y。 为 解密 方 的 公 钥 。 
(2) wu 为 DH 密 钥 协商 协议 部 分 , 即 
u= gt:modp 
解密 方 A 利用 wx 这 一 部 分 以 及 自己 的 私 钥 a ,可 以 生成 仿 射 加 密 中 用 到 的 KK, 即 
K=u modp 
这 是 因为 
K=umodp= (g)*modp= (g)modp= (Y,) :modp 
思考 5.9: 解密 部 分 的 v/u* mod p 如 何 计 算 ? 
这 里 ,初学 者 容易 误解 为 “除法 ”, 其 实 是 乘 以 ze 的 逆 元 。 有 : 
v/u modp 
=v*u "modp 
= vur!l® modp 
例 5.10 设 p=2579,g= 二 2,d 二 765, 公 钥 为 Y==2”” mod 2579 二 949。 
加 密 明 文 m= 二 1299 ,秘密 选择 一 个 随机 整数 A 王 853。 计 算 (x,v) ,其 中 x 一 283 mod 
2579 二 435,u 一 1299。949853 mod 2579 二 2396。 即 密 文 为 (435 ,2396)。 
解密 时 ,明文 为 m= 二 2396/435” mod 2579 一 1299。 
图 5.9 中 的 实验 给 出 了 计算 过 程 ,以 加 深 印 象 。 
其 实 , 可 以 将 离散 对 数 问题 从 乘法 群 推广 到 一 般 循环 群 (循环 群 的 定义 见 6.2 节 )。 
定义 5.6 推广 的 离散 对 数 问题 : 给 定 循环 群 G, 设 其 阶 为 n, 生 成 元 为 g, 以 及 G 上 
随机 选取 的 元 素 y ,寻找 整数 zx,1 三 + 三 n 一 1, 使 得 y==g*。 
由 推广 的 离散 对 数 问题 可 知 ,ElGamal 方案 可 以 推广 到 一 般 循环 群 , 例 如 基于 椭圆 曲 
线 的 ElGamal 方案 。 
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njgp ~Io|Xx| 


Reading GPRC: /cygdrive/c/Program Files/PARI/.gpre ...Done 


GP/PARI CALCULATOR Uersion 2.3.4 (released) 
i686 running cyguin (ix86/GMP-4.2.1 kernel) 32-bit version 
compiled: Jul 12 2698，gcc-3.4.4 (cygming special, gdc 0.12, using dmd 0.125) 
(readline u5.2 enabled, extended help available) 
Copyright (5C] 2699-2966 The PhRI Group 


/GP is free software，couered by the GNU General Public License，and 
WITHOUT RNY WARRANTY WHATSOEVER 


Type ? for help, \q to quit 
Type ?12 for how to get moral (and possibly technical) s 


46999996，primelimit = 599609 
> 2°853 %2579 


> 1299x949“853 %2579 
> 435“765 %2579 
> 1/2424 %2579 


> 2396x1980 %2579 


[1] 计算 2,5,10 模 13 的 阶 


求 模 47 的 所 有 原 根 

编写 程序 实现 输出 47 的 所 有 原 根 

编写 程序 实现 输出 1 一 46 模 47 的 阶 表 。 

求 以 6 为 底 的 模 41 的 指数 表 

5] 编写 程序 实现 EIGamal 公 钥 密码 系统 

] 利用 PARI 软件 验证 DH 密 钥 协 商 和 ElGamal 公 钥 密码 系统 
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应 用 与 实践 


本 章 介 绍 只 有 一 种 运算 的 代数 结构 一 一 群 。 
本 章 的 重点 是 群 的 相关 概念 ,循环 群 。 难 点 是 置换 群 。 


6.1 和 群 子 群 同 态 与 同 构 


定义 6.1 (运算 ) 设 S 是 一 个 非 空 集合 (Set) ,那么 SXS 一 S 的 映射 叫做 S 上 的 运 
算 。 该 运算 记 为 o(Operator)。 

定义 6.2 封闭 性 (Closure)。 对 于 非 空 集合 S 以 及 S 上 的 运算 o,S 中 任意 元 素 a 
和 4b, 有 aobE S, 则 运算 o 具 有 封闭 性 。 

定义 6.3 代数 系统 (Algebra System) 。 对 于 非 空 集合 S 以 及 S 上 的 运算 o, 若 运算 
o 满足 封闭 性 , 则 称 其 为 代数 系统 , 记 为 二 S., o>。 

例 6.1 二 N, 十 二 是 代数 系统 ,二 N ,一 二 不 是 代数 系统 ,二 QZ ,一 二 是 代数 系统 。 

定义 6.4 结合 律 (Associative) 。 对 于 非 空 集合 S 以 及 S 上 的 运算 o,S 中 任意 元 素 
qa,bsc, 有 (aob)oc 二 ao(boc), 则 运算 o 满足 结合 律 。 

定义 6.5 满足 结合 律 的 代数 系统 称 为 半 群 (Semigroup)。 

例 6.2 <=Z, 一 二 不 是 半 群 。<Z, 十 二 是 半 群 。 

定义 6.6 单位 元 (Identity Element) 。 设 S 是 一 个 具有 运算 o 的 非 空 集合 。 如 果 S 
中 有 一 个 元 素 e 使 得 

ea=ae=a 

对 S 中 所 有 元 素 a 都 成 立 , 则 称 元素 e 为 S 中 的 单位 元 。 

定义 6.7 独 异 点 (Monoid)。 有 具有 单位 元 的 半 群 称 为 独 异 点 (也 叫做 乏 半 群 )。 

例 6.3 去 六 ,十 > 是 独 异 点 ,单位 元 为 0。 过 N,， 二 是 独 异 点 ,单位 元 为 1。 

定义 6.8 逆 元 (Inverse Element)。 设 S 是 一 个 具有 运算 o 的 有 单位 元 的 集合 ,a 是 
S 中 的 一 个 元 素 , 如 果 S 中 存在 一 个 元 素 a .使 得 

QQ 一 QQ 一 e 

则 称 元 素 a 为 S 中 的 可 道 元 , 称 a 为 a 的 道 元 , 记 为 c-:。 

当 运 算 o 为 加 法 时 ,这 个 a 叫做 a 的 负 元 , 记 为 一 a。 

定义 6.9 和 群 (Group)。 非 空 集合 S 中 每 个 元 素 具有 逆 元 的 独 异 点 是 群 。 

例 6.4 mm 为 合 数 ,Z, 二 Z/mZ 一 10,1,…,m 一 1} 。。 表示 模 m 的 乘法 。 二 Zu, 过 


不 是 群 ,但 一 Z。 ,，“。 二 是 群 ,这 里 Z,“ 表示 模 m 的 最 小 非 负 简化 剩余 系 。 

定义 6.10 交换 律 (Commutative Law)。 设 S 是 一 个 具有 运算 o 的 非 空 集合 ,如 果 
对 S 中 任意 元 素 a 和 464, 有 

aob =boa 

则 称 运 算 o 具有 交换 律 。 

定义 6.11 群 中 运算 具有 交换 律 的 群 叫做 交换 群 .或 者 Abel 群 。 

例 6.5 过 Z, 十 > 是 交换 群 。 有 理 数 集合 Q, 实 数 集 R, 复 数 集 C 对 于 通常 意义 下 的 
加 法 十 和 乘法 .而 言 ,<Q/{0},.。 二 ,二 R/{0},，* 放 ,二 C/{0},， 才 是 交换 群 。 

图 6. 1 以 一 种 “ 递 进 ” 的 方式 给 出 概念 间 的 联系 , 非 正式 地 说 ,显示 了 群 定义 中 类 似 于 
“进化 完善 ?的 过 程 , 便 于 理解 和 记忆 。 

请 足 封 团 性 ， 人 System) 


满足 结合 律 的 代数 系统 ， 称 为 半 群 (Semigroup) 
具有 单位 元 的 半 群 是 独 异 点 (Monoid) 
每 个 元 素 具 有 逆 元 的 独 异 点 是 群 (Group) 


群 中 运算 具有 交换 律 的 群 叫做 交换 群 (Abel Group) 
图 6.1 用 “ 递 进 "的 方式 给 出 概念 间 的 联系 便于 理解 群 的 “进化 完善 ”过 程 


定义 6.12 若 群 G 中 含有 有 限 个 元 素 , 则 称 群 C 为 有 限 群 ; 若 群 C 中 含有 无 限 多 个 
元 素 , 则 称 群 G 为 无 限 群 。 一 个 有 限 群 G 中 的 元 素 个 数 称 为 群 的 阶 , 记 为 |G|。 
例 6.6 设 n 是 一 个 正 整数 ,集合 为 Z/nZ 二 10,1,2,…,n 一 1) ,集合 Z/nZ 上 的 运算 
为 加 法 
ab 一 (at+b) (mod n) 
其 中 4a (mod ) 是 整数 a 模 n 的 最 小 非 负 剩余 。G== 二 Z/nZ, 四 二 构成 一 个 交换 加 
群 。|G|=n。 
例 6.7 设 n 是 一 个 合 数 ,集合 (Z/n2Z)' =={ala€EnZ,(a,n)= 二 1) ,集合 (Z/n2Z)" 上 的 
运算 为 乘法 
ab= (at+b) (mod n) 
G== 达 (Z/nZ)"， 昌 二 构成 一 个 交换 乘法 群 。|G|= 二 @(n)。 
下 面 引入 客 次 的 概念 。 
设 是 正 整 数 ,如 果 a 二 as 二 … 二 a 二 4, 则 记 aras…as 王 a”, 称 之 为 a 的 n 次 宫 , 特 
别 地 ,定义 a 二 e 为 单位 元 ,a “二 a ! 的 n 次 考 。 
由 群 的 结合 律 可 以 得 到 ,a 是 群 G 中 的 任意 元 , 则 对 任意 的 整数 m,n, 有 
Can 一 Qt (GD 一 a™ 
下 面 引 入 元 素 的 阶 (order) 的 概念 。 
定义 6.13 设 a€ 群 G,e 是 G 的 单位 元 ,车 任意 kEN,a* 隆 e, 则 称 a 的 阶 为 无 穷 大 ， 
记 作 |a| 三 cs , 若 存在 AE N 使 得 必 一 ce, 则 称 min{k|kEN,a* 二 e) 为 a 的 阶 。 若 a 的 阶 是 
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nn, 则 记 作 |a|==n。 

下 面 讨 论 两 个 群 之 间 的 关系 (由 群 中 集合 的 包含 关系 确定 )。 

定义 6.14 设 五 是 群 G 的 一 个 非 空子 集合 ,如 果 对 于 群 G 的 运算 , 末 成 为 一 个 群 ， 
则 五 叫做 群 G 的 子 群 (Subgroup) , 记 作 HG。 

互 王 {e} 和 互 =G 都 是 群 G 的 子 群 , 叫 做 群 G 的 平凡 子 群 。 

G 的 子 群 于 叫做 群 G 的 真子 群 ,如 果 互 不 是 群 G 的 平凡 子 群 。 

例 6.8 32Z={…, 一 6, 一 3,0,3,6,…} 是 Z 的 子 群 。62Z={…, 一 12, 一 6,0,6,12,.…} 
是 32 的 子 群 , 即 62 委 32Z。 

例 6.9 设 n 是 一 个 正 整 数 , 则 nZ={nklkEZ}) 是 Z 的 子 群 。 

除了 用 定义 来 判定 外 , 子 群 的 判定 还 可 以 根据 如 下 更 为 简单 的 判定 定理 。 

定理 6.1 设 五 是 群 G 的 一 个 非 空子 集合 , 则 互 是 群 G 的 子 群 的 充 要 条 件 是 对 任 
意 的 ,是 对 任意 的 wc,OE 五 ,有 wo GE 万 。 

证 明 : 必然 性 是 显然 的 ,下 面 证 明 充 分 性 。 

因为 互 非 空 ,所 以 理 中 有 元 素 a, 根 据 假设 ,有 e=aa™'€ 昌 ,因此 瓦 中 有 单位 元 。 对 
于 eEH 及 任意 a4, 再 应 用 假设 ,有 a ! 二 ae€E 昌 , 即 有 H 中 每 个 元 素 a 在 日 中 均 有 逆 元 。 对 于 
任意 a,5E 昌 ,由 ab==a(471)-!E 有 ,可 知 有 H 对 乘法 运算 封闭 ,因此 互 是 群 G 的 子 群 。 图 

下 面 讨论 群 与 群 之 间 的 两 种 特殊 的 映射 。 

定义 6.15 设 G 和 G' 是 两 个 群 ,f 是 G 到 G' 的 一 个 映射 ,如 果 对 任意 的 a,bEG， 
都 有 

flab)=f(a)f 00) (6.1) 

那么 ,上 叫做 G 到 G “的 一 个 同 态 Chomomorphism) 。 

如 果 了 是 一 对 一 的 (Injective) , 则 称 了 为 单 同 态 ;如 果 是 满 的 (Surjective) , 则 称 了 
为 满 同 态 ; 如 果 f 是 一 一 对 应 的 (Bijective) , 则 称 f 为 同 构 (Isomorphism)。 

当 G=G' 时 , 同 态 f 叫做 自 同 态 , 同 构 叫做 自 同 构 。 

思考 6.1 同 态 映射 中 的 运算 是 否 有 区 别 。 

需要 注意 的 是 ,(6.1) 式 中 左边 ab 之 间 的 运算 是 G 群 中 的 运算 ,右边 f(a)f(5) 之 间 
的 运算 是 G' 群 中 的 运算 。 

定义 6.16 设 G.G' 是 两 个 群 ,如 果 存 在 一 个 G 到 G' 的 同 构 , 称 G 到 G’ 同 构 , 记 作 
GEC 。 

例 6.10 加 群 Z 到 乘 群 R = 二 R\{0) 的 映射 f: ae->e" 是 Z 到 R" 的 一 个 同 态 。 

例 6.11 加 群 Z 到 加 群 Z,==Z/n2Z 的 映射 f; >ACE10.1.…,2 一 1)) 是 Z 到 Z， 
的 一 个 同 态 。 


6.2 循环 群 


本 节 讨 论 循环 群 ,其 中 很 多 定理 是 第 5 章 中 定理 的 一 般 化 。 
定理 6.2 设 G 是 一 个 群 ,{Hijer 是 G 的 一 族 子 群 , 则 站 ierHi 是 G 的 一 个 子 群 。 


例 6.12 2Z 是 2 的 子 群 ,3Z 是 2 的 子 群 。2Z 门 3Z==6Z 是 2Z 的 子 群 。 

定理 6.3 设 G 是 一 个 群 ,X 是 G 的 非 空 子 集 ,{ Hi};e: 是 G 的 包含 X 的 所 有 子 群 ， 
则 门 erHi 是 G 的 由 X 生成 的 子 群 , 记 为 一 X>。 

例 6.13 X=62Z,G 中 包含 X 的 所 有 子 群 为 2Z,3Z.6Z。2Zn3Zmn62Z=6Z.62 生成 
的 子 群 记 为 二 6Z> 。 

实际 上 ,二 X 二 是 G 中 包含 X 的 最 小 子 群 。 

X 的 元 素 称 为 子 群 二 处 二 的 生成 元 。 如 果 X={a ,… as), 则 记过 XX 为 二 a ,as， 
ar 二 。 如 果 G= 过 a ,as,…,a, 记 , 则 称 G 为 有 限 生 成 的 。 特 别 地 ,如 果 G= 二 a 二 , 则 
称 G 为 由 a 生成 的 循环 群 。 

定理 6.4 设 G 是 一 个 群 ,X 是 G 的 非 空子 集 , 则 由 X 生成 的 子 群 为 

<X>={ana"|tE Na EGnNnEZ, ISi<t) 
特别 地 ,对 任意 的 <cEG, 有 
<a>={a"|ln€EZ} 

例 6.14 设 G=<=g 记 ={g'|g' 关 1,1 志 rn,g"==1),G 是 nn 阶 循环 群 , 则 

<g’>={g*|kEZ)} 

这 一 定义 和 第 5 章 中 原 根 和 阶 的 定义 形成 了 某 种 “呼应 ”。 

定理 6.5 加 群 Z 的 每 个 子 群 妃 都 是 循环 群 , 且 有 末 二 二 0> 或 者 H= 二 m= 
mZ, 其 中 以 是 末 中 的 最 小 正 整 数 。 如 果 万 夭 二 0 二 , 则 瓦 是 无 限 的 。 

定理 6.6 每 个 无 限 循环 群 同 构 于 加 群 Z, 每 个 阶 为 m 的 有 限 循环 群 同 构 于 加 群 
/im 

此 定理 说 明 ,循环 群 的 构造 完全 取决 于 它 的 生成 元 , 当 生 成 元 的 阶 是 无 限 大 时 ,它们 
互相 同 构 且 都 与 <Z, 十 之 同 构 。 当 生成 元 的 阶 是 闷 时 ,它们 互相 同 构 且 都 与 王 Z/mmQ， 
四 ,二 同 构 ( 这 里 田 ,, 表示 模 m 加 法 )。 因 此 ,从 同 构 的 观点 看 ,循环 群 只 有 两 种 : 整数 加 
群 和 模 mm 的 剩余 类 加 群 。 于 是 ,对 循环 群 的 研究 可 转移 到 对 这 两 个 群 的 研究 上 来 。 

接 下 来 由 循环 子 群 的 阶 给 出 群 元 素 阶 的 等 价 定义 。 

定义 6.17 设 G 是 一 个 群 ,aeEG, 则 子 群 < 之 的 阶 称 为 元 素 a 的 阶 , 记 |a|。 

定理 6.7 设 G 是 一 个 群 .a€EG。 如 果 a 是 无 限 阶 , 则 : 

(1) a*=e 当 且 仅 当 k=0; 

(2) 元 素 a*(kEZ) 两 两 不 同 ; 

如 果 a 是 有 限 阶 关 盖 0. 则 : 

(3) m 是 使 得 a”==e 的 最 小 正 整数 ; 

(4) 必 一 e 当 且 仅 当 mm 上; 

(5) a 二 a* 当 且 仅 当 x 三 k (mod m); 

(6) 元 素 at(kEZ/m2Z) 两 两 不 同 ; 

(7) <a>={aya’ ,an !,a”"=e); 

(8) 对 任意 整数 1<d<<m, 有 |a?|= 一 二 

(md) 

定理 6.8 循环 群 的 子 群 是 循环 群 。 
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定理 6.9 设 G 是 循环 群 ,G= 二 wa>, 如 果 G 是 无 限 的 . 则 G 的 生成 元 为 a 和 au ,如 
果 G 是 有 限 阶 mr, 则 a* 是 G 的 生成 元 当 上 且 仅 当 (A,m) 一 1。 

思考 6.2: 这 个 定理 是 否 “ 似 曾 相 识 ” 呢 。 

这 个 可 以 视 为 前 面 学 到 的 定理 5. 10 的 一 般 化 。 


6.3 置换 群 


631 置换 群 的 概念 


设 S 是 一 个 非 空 集 合 ,G 是 S 到 自身 的 所 有 一 一 对 应 的 映射 组 成 的 集合 , 则 对 于 映 
射 的 复合 运算 ,G 构成 一 个 群 ,叫做 对 称 群 。 

对 称 群 的 单位 元 是 恒 等 映 射 。G 中 的 元 素 叫 做 S 的 一 个 置换 。 

当 S 是 n 元 有 限 集 时 ,G 叫做 n 元 对 称 群 , 记 作 Sn。 

设 S=={1,2,…,n) 及 其 对 称 群 Sn 中 的 元 素 o, 有 o:i>o(i)。 通 常 将 置换 o 写成 


( 1 2 六 = n i 12 ws el i 
0 一 2 
o(l1) ol(2) … oln—1) ol(n) mn sy se a a 


例如 ， 
23456 /152463 
| | 
图 6.2 给 出 了 o 映射 的 图 示 。 
三、 ZE 


2 4 
a 
C) 
图 6.2 go 映 射 的 图 示 


1 23 #5 6 | 2 
例 6.15 一 | ] 一 | ] 雪 mm 
6 4 
1 


妆 节 , 站 泪 1 2 856 
:or= (6 5 4 31 os or23)) 
/5 6423 1)/1234556 
12354 6llse6c4231 
tsb 
1 235456 
EO 
= 
56423 1jlecs4312 
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i 
se el .sss al 
/1234556 
-(1 3824 56 


了 
~ 2 4 so)-(s sy is] 
定理 6. 10 元 置换 全 体 组 成 的 集合 Sn 对 置换 的 乘法 构成 一 个 群 ,其 阶 为 n1。 
定理 6.11 任意 一 个 置换 都 可 以 表示 成 一 些 不 相交 轮换 的 乘积 ,在 不 考虑 乘积 次 序 
的 情况 下 ,该 表达 式 是 唯一 的 。 
和 
6 -六 这 过 
=(1 4)(1 6)(2 3)(2 5) 
由 元 置换 构成 的 群 叫做 元 置换 群 。 
例 6.17 设 c=(1,2,3), 则 循环 群 G=<c>={e,(1,2,3),(1,3,2)} 是 3 元 置换 群 。 
定理 6.12 ( 饥 莱 定理 ) 设 G 是 一 个 n 元 群 , 则 G 同 构 于 一 个 n 元 置换 群 。 
该 定理 是 群 论 中 一 个 重要 定理 , 它 揭示 了 置换 群 与 抽象 群 之 间 的 关系 。 


632 置换 群 的 应 用 * 


群 的 应 用 在 5.3 节 和 5.4 节 中 已 经 给 出 了 一 个 常见 的 重要 应 用 。 第 9 章 将 给 出 循环 
群 在 椭圆 曲线 上 的 构造 以 及 应 用 。 本 节 主 要 讨论 置换 群 在 转 轮 密码 机 中 的 应 用 。 

古典 密码 体制 实际 上 可 以 分 为 人 工 加 密 和 机 械 加 密 两 种 。 从 19 世纪 20 年 代 开 始 ， 
人 们 逐渐 发 明 各 种 机 械 加 解密 设备 用 来 处 理 数据 的 加 解密 运算 ,最 典型 的 设备 是 转 轮 密 
码 机 (Rotor Machine) 。 转 轮 密 码 机 由 一 组 布线 轮 和 转 轮轴 组 成 的 灵巧 复杂 的 机 械 装置 ， 
可 以 实现 长 周期 的 多 表 代 换 , 且 加 密 和 解密 的 过 程 由 机 械 自动 快速 完成 。 

1918 年 发 明 德国 发 明 家 Artrhur Scherbius 发 明了 名 叫 ENIGMA 的 转 轮 密码 机 , 意 
为 “ 谜 ”, 后 来 被 德国 装备 军队 使 用 ,又 大 大 加 强 了 基本 设计 ?了 。 转 轮 密 码 机 的 使 用 极 大 提 
高 了 加 解密 速度 ,同时 抗 攻 击 性 能 有 很 大 的 提高 ,在 第 二 次 世界 大 战 中 有 着 广泛 的 应 用 ， 
是 密码 学 发 展 史上 的 一 个 里 程 碑 。 

转 轮 密码 机 由 一 个 输入 的 键盘 和 一 组 转 轮 组 成 ,每 个 转 轮 上 有 26 个 字母 的 输入 引 
脚 ,以 及 26 个 字母 的 输出 引 脚 ,输入 输出 关系 由 内 部 连 线 决定 。 以 简化 版 的 转 轮 密码 机 
为 例 , 假 设 有 3 个 转 轮 ,从 左 到 右 分 别 为 慢 轮 子 、 中 轮子 、 快 轮子 (例如 通过 齿轮 控制 )。 按 
下 某 一 键 时 ,键盘 输入 的 明文 电信 号 从 慢 轮子 进入 转 轮 密 码 机 ,轮子 之 间 传 递 电信 和 号 ,最 
后 从 快 轮子 输出 密 文 。 每 次 击 键 后 , 快 轮子 就 转动 一 格 ,这 样 就 改变 了 中 轮子 和 快 轮子 之 
间 的 对 应 关系 。 两 次 连续 按 “A” 键 ,得 到 的 密 文 结果 不 一 样 ,于 是 形成 多 表 代 换 关 系 。 
图 6.3 给 出 其 原理 的 示意 图 ,图 6.4 给 出 一 个 实例 。 在 首次 击 “A” 键 时 ,输出 “E”, 输 出 后 


例 6. 16 “| j= 6 4)(2 5 3) 


Q@ 另 一 个 著名 的 转 轮 密码 机 时 美军 的 Haglin 密码 机 ,是 瑞典 Haglin 发 明 的 ,在 二 战 时 被 盟 军 广泛 使 用 。 同 时 ， 
二 战 时 日 军 的 “ 紫 密 ” 和 “ 兰 密 " 也 是 转 轮 密码 机 。 
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快 轮子 转动 一 格 ,导致 中 轮子 和 快 轮子 的 接触 点 变化 ,再 通过 内 部 连 线 ,改变 了 输出 。 青 
次 击 *A” 键 ,输出 为 *B”( 快 轮子 与 24 对 应 的 是 18,18 对 应 *B”)。 


慢 轮 子 中 轮子 快 轮子 人 慢 轮 子 中 轮子 快 轮子 
(a) 击 “A” 键 时 的 状态 (b) 击 “A” 键 后 的 状态 


图 6.3 转 轮 密码 机 原理 


- 
- 


Ht 
E4 


1 


10 n 


BETTEEFEEEDTEPTEE ED be 


子 中 轮子 ” 快 轮子 
图 6.4 转 轮 密 码 机 的 一 个 实例 


下 面 解释 其 原理 。 每 个 转 轮 相当 于 一 个 置换 。 多 个 转 轮 如 果 转 速 相同 , 则 相当 于 一 
个 转 轮 , 还 是 一 个 置换 的 效果 。 快 轮子 转动 一 圈 ( 即 26 格 ) ,中 轮子 转动 一 格 ;中 轮子 转动 
一 圈 ( 即 26 格 ) , 慢 轮子 转动 一 格 。 由 于 多 个 转 轮 的 转速 不 一 样 , 转 轮 之 间 的 对 应 关系 在 
每 次 按键 后 均 改 变 ,形成 了 所 谓 的 “多 表 代 换 ”。 二 战 期 间 阿 兰 。 图 灵 (Alan Turning) 参 
与 了 英国 政府 的 破译 行动 ,成 功利 用 Enigma 使 用 上 的 缺陷 破译 了 密码 ,一定 程 度 上 改变 
了 战争 的 局 势 。 
思考 6.3: 轮子 的 转动 是 在 改变 代 换 方式 吗 ? 
如 果 把 轮子 的 转动 导致 的 轮子 间 映 射 关系 的 改变 视 为 代 换 (Substitution) ,把 轮子 内 
部 的 连 线 视 为 置换 (Permutation) , 则 转 轮 机 可 视 为 后 来 在 DES 分 组 密码 中 用 到 的 代 换 
置换 网 络 (SP 网 络 ) 的 雏形 ,( 可 能 是 信息 论 之 父 香农 Shannon 后 来 提出 设计 密码 的 混淆 
思想 和 扩散 思想 的 源泉 )。 转 轮机 中 的 多 个 转 轮 提高 了 安全 性 ( 增 大 了 密 钥 空间 ),( 也 可 
能 是 后 来 Shannon 提出 乘积 密码 的 源泉 ) 。 
分 组 密码 (如 DES 和 AES) 的 设计 中 ,都 大 量 使 用 了 置换 操作 。 
68 


[1] 证 明 : 群 G 是 交换 群 的 充 要 条 件 是 对 任意 a.5EG, 有 (ab)? 二 a?b?。 
[2] p==7, 构 造 乘 群 F,* 二 F,\{0} 的 乘法 表 和 加 群 Z/(p 一 1)Z 的 加 法 表 。 


[3] 设 pb 是 奇 素数 ,证 明 乘 群 F,* 二 F,\(0) 是 同 构 于 加 群 Z/(p 一 1)Z 的 循环 群 。 


1234556 123456 
4] co 一 ,7 一 求 ucravo !。 
[4] BB 3 4556 | $ 3 4256 1 . 
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J 
二“ 环 与 域 


上 一 章 介绍 的 群 是 只 有 一 种 运算 的 代数 系统 ,本 章 考虑 具有 两 种 运算 的 代数 系统 。 
本 章 的 重点 是 环 和 域 的 概念 ,难点 是 多 项 式 环 和 多 项 式 域 。 


元 环 


711 环 和 域 的 概念 


定义 7.1 设 R= 二 5S, ol,o2>,S 是 具有 两 种 运算 (ol 和 o2) 的 非 空 集合 ,如 果 ， 

(1) 二 S, ol 之 构成 一 个 交换 群 ; 

(2) 二 S, o2 二 构成 半 群 ; 

(3) ol,o2 满足 分 配 律 (Distributive Law) , 即 : 对 任意 ec,o,cES, 有 

(a ol bg)o2c 王 wo2ecolpo2c( 右 分 配 律 ) 
a 02(b ol c) 二 a 02b ol a 02 c ( 左 分 配 律 ) 

则 RR 称 为 环 (Ring)。 

(4) 若 环 尺 中 二 S, 02 二 构成 交换 半 群 。 则 R 称 为 交换 环 。 

(5) 若 环 R 中 二 S, o2 二 构成 独 异 点 , 则 尺 称 为 有 单位 元 的 环 (也 称 为 含 么 环 ) 。 

例 7.1 去 Z, 十 ,， 之 是 一 个 有 单位 元 的 交换 环 。 志 Z ,十 之 是 交换 加 群 , 零 元 为 0,a 
的 负 元 为 一 4。 十,* 满足 分 配 律 。 二 Z,， > 是 半 群 。 因 此 ,<Z, 十 ,。 之 是 一 个 环 。 而 
且 , 二 Z,， 二 具有 单位 元 1, 且 .满足 交换 律 。 因 此 ,是 有 单位 元 的 交换 环 。 

定义 7.2 设 尺 = 二 S, 十 ,。 二 是 一 个 环 ,如 果 存 在 c,OE S ,满足 oa 天 0.0 天 0, 但 ca。 
0 一 0, 则 称 环 尺 为 有 零 因 子 环 , 称 w 为 尺 的 左 零 因子 .0 为 尺 的 右 零 因子 ,否则 称 RR 为 无 
零 因子 环 。 

例 7.2 整数 环 <Z, 十 ,* 二 、 有 理 数 环 二 Q, 十 ,， > 二、 实数 环 <R, 十 ,。 二、 复数 环 
<C, 十 ,。> 均 为 无 零 因子 环 。 

例 7.3 对 于 合 数 nn,Z, 为 有 零 因 子 环 。 

例 7.4 对 于 素数 p,2Z， 为 无 零 因子 环 。 

例 7.5 二 2Z/6Z=={0,1,2,3,4,5},。(mod 6) 之 是 一 个 有 零 因子 环 ,因为 2。3=0。 

在 无 零 因子 环 中 ,乘法 消去 律 成 立 。 即 非 空 集合 中 任意 ac,o,c,a 天 0, 有 


dba hE 


b*a=eceva = b=e 
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定义 7.3 有 单位 元 的 无 零 因 子 的 交换 环 叫做 整 环 (Integral Domain) 。 

例 7.6 整数 环 一 Z, 十 ,二 有 理 数 环 天 Q, 十 ,。 二 、 实 数 环 R, 十 ,，* 二 、 复 数 环 
<C, 十 ,过 都 是 整 环 ,而 2Z( 偶 数 环 ) 没 有 单位 元 故 不 是 整 环 ,Z,(n 为 合 数 ) 有 零 因 子 故 
不 是 整 环 。 

定义 7.4 一 个 环 尺 叫做 除 环 , 当 环 尺 有 以 下 特征 时 : 

(1) R 中 至 少 包含 一 个 非 零 元 ( 即 R 中 至 少 有 两 个 元 素 ); 

(2) R 有 单位 元 ; 

(3) R 的 每 一 个 非 零 元 有 逆 元 。 

应 当 注意 到 , 除 环 的 概念 中 ,没有 要 求 满足 乘法 交换 律 。 

其 实 除 环 就 是 指环 中 非 零 元 在 乘法 运算 下 构成 群 。 

定义 7.5 交换 除 环 叫做 域 (Field) 。 

例 7.7 有 理 数 集 Q、 实 数 集 尺 复数 集 C 关于 数 的 加 法 和 乘法 都 构成 域 。 但 是 整数 
环 只 能 构成 整 环 , 不 能 构成 域 。 

定义 7.6 如 果 交 换 环 尺 对 于 加 法 构成 一 个 交换 群 ,R" =R\{0} 对 于 乘法 构成 一 个 
交换 群 , 则 交换 环 R 为 一 个 域 。 

例 7.8 设 p 是 素数 , 则 二 2Z,, 十 (mod p),， (mod ) 二 是 域 。 
注意 , 域 一 定 是 整 环 ,但 整 环 不 一 定 是 域 .但 有 限 整 环 一 定 是 域 。 

定义 7.7 只 包含 有 限 个 元 素 的 环 ( 域 ) 称 为 有 限 环 ( 域 ), 其 元 素 的 个 数 称 为 该 环 
( 域 ) 的 阶 。 有 限 域 又 叫 伽 罗 瓦 域 (Galois Field) 。 

为 了 便于 理解 和 记忆 , 表 7.1 给 了 上 述 概念 之 间 的 递 进 关 系 。 非 正式 地 ,图 7.1 给 出 
了 环 概念 的 “进化 完善 过程。 

表 7.1 环 概念 之 间 的 “ 递 进 "关系 


<S,01,02> S,ol <S,02> ol,o2 
环 交换 群 | 半 群 分 配 律 
交换 环 交换 群 | 交换 半 群 分 配 律 
有 单位 元 的 环 交换 群 | 独 异 点 分 配 律 
有 单位 元 的 交换 环 | 交换 群 | 交换 独 异 点 分 配 律 
无 零 因子 环 交换 群 | 无 零 因子 半 群 分 配 律 
整 环 交换 群 | 无 零 因 子 交 换 独 异 点 分 配 律 
除 环 交换 群 | 有 非 零 元 且 非 零 元 有 逆 元 的 独 异 点 ,或 者 二 S\{0},o2 二 为 群 | 分 配 律 
域 交换 群 | 一 S\{0},o2 二 为 交换 群 分 配 律 


例 7.9 一 个 典型 的 域 是 二 F; ,十 ,。 二 ,二 F; ,十 二 为 一 个 交换 群 。 二 Fs\{0)}, :> 
为 一 个 交换 群 。 图 7. 2 给 出 了 其 运算 表 。 
同 态 概念 可 以 扩展 到 环 。 
定义 7.8 设 R.R' 是 两 个 环 , 称 映射 /: RR' 为 环 同 态 ,如 果 f 满足 下 列 条 件 : 
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环 <S, o1, 02> = 交换 群 <S, o1> + 半 群 <S, o2> + 分 配 律 0], o2 

交换 环 <S, 01, o2> = 交换 群 <S, 0o1> + 交换 半 群 <S, o2> + 分 配 律 01, 02 

有 单位 元 的 环 <S, 01, 02> = 交换 群 <S,o1> + 独 异 点 <S, o2> + 分 配 律 ol, 02 

有 单位 元 的 交换 环 <S, 01, 02> = 交换 群 <S, o1> + 交换 独 异 点 <S, 02> + 分 配 律 01, 02 

无 零 因 子 环 <S, 01, 02> = 交换 群 <S, ol> + 无 零 因子 半 群 <S, 02> + 分 配 律 01, 02 

整 环 <S, 01, 02> = 交换 群 <S, o1> + 无 零 因 子 交换 独 异 点 <S, 02> + 分 配 律 01, 02 

除 环 <S, 01, 02> = 交换 群 <S, o1> + <S\{0}, 02> 为 群 + 分 配 律 01, 02 

域 <S, 01, 02> = 交换 群 <S, o1> + <S\{0}, 02> 为 交换 群 + 分 配 律 01, 02= 交 换 除 环 = 有 限 整 环 


于 交换 群 <S, o1> 分 配 律 o1, 02 


环 <S, o2> 有 单位 元 。 ”<S, o2> 无 零 因 子 <S, o2> 交 换 律 <S\{0}, o2> 为 群 
一 一 ~ 
有 单位 元 的 环 无 零 因子 环 交换 环 <S\IOT 2> 为 交换 群 
RE 
有 单位 元 的 交换 环 \ 
\ 
整 环 S| 有 限 \ 
i 
域 域 域 


图 7.1 环 的 “进化 完善 过程 示 意图 


(1) 对 任意 的 a,b ER, 都 有 f(a+b) 二 f(a) 十 (6) 


(2) 对 任意 的 a,b ER, 都 有 f(ab) = f(a) f(b) 5 
如 果 / 是 一 对 一 的 , 则 称 /为 单 同 态 ;如 果 / 是 满 | 5 | 
的 , 则 称 /是 满 同 态 ;如 果 / 是 一 一 对 应 的 , 则 称 /为 三 | 6 
. 0 1 
0 0 0 
1 0 1 


同 构 。 


定义 7.9 设 R,R' 是 两 个 环 , 称 R 与 R' 同 构 , 如 
果 存 在 一 个 RR 到 R' 的 同 构 。 
定义 7.10 设 尺 是 一 个 环 , 如 果 存 在 一 个 最 小 下 | lo | | 


整数 n 使 得 对 任意 a ER, 都 有 na 二 0, 则 称 环 RR 的 特 图 7.2 域 < Ps ,十 ,。 > 的 运算 表 
征 为 n, 记 为 char(R) 一 0; 如果 不 存在 这 样 的 正 整数 ， 
则 称 环 R 的 特征 为 零 , 记 为 char(R)=0。 

定理 7.1 设 R 为 一 整 环 , 则 char(R)==0 或 者 char(R)==p., 其 中 为 一 素数 。 

推论 1: 整 环 R 的 加 法 群 中 每 一 非 零 元 的 阶 或 都 为 无 穷 , 或 都 为 一 素数 。 

推论 2: 整 环 R 的 特征 即 为 单位 元 1” 在 R 的 加 法 群 中 的 阶 。 

定理 7.2 如 果 域 K 的 特征 不 为 零 , 则 其 特征 必 为 素数 。 

证 明 : 设 域 K 的 特征 为 n ,如果 不是 素数 , 则 存在 整数 1 二 mm ,ns 一 n, 使 得 n= 二 nn,， 
从 而 Gn1i) (nz1i) 二 (mns)1 二 0, 因 为 域 K 无 零 因 子 , 所 以 m1 二 0 或 者 .1 一 0, 这 与 特 
征 n 的 最 小 性 矛盾 。 图 

定理 7.3 设 尺 是 有 单位 元 的 交换 环 , 如 果 环 R 的 特征 是 素数 p, 则 对 任意 a,0E 
RR, 有 


(atb)?=a?+be 
证 明 留 作 练 习 。 
冯 
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与 子 群 类 似 , 可 以 给 出 子 环 , 子 域 的 概念 。 

定理 7.4 设 R' 是 环 R 的 非 空子 集 .如 果 对 于 环 R 的 运算 ,R' 也 构成 一 个 环 , 则 R' 叫 
做 R 的 子 环 。 

定理 7.5 设 K' 是 环 K 的 非 空子 集 ,如 果 对 于 域 K 的 运算 ,K' 也 构成 一 个 环 , 则 K” 
叫做 开 的 子 域 。 

定义 7.11 一 个 域 叫做 素 域 ,如 果 它 不 含 真子 域 。 

例 7.10 有 理 数 域 Q 是 素 域 。F,= 二 2Z/pZ 是 素 域 .其 中 p 为 素数 。 

定理 7.6 设 下 是 一 个 域 ,如 果 下 的 特征 为 0, 则 下 有 一 个 与 Q 同 构 的 素 域 。 如 果 下 
的 特征 为 p, 则 下 有 一 个 与 下 , 同 构 的 素 域 。 

712 多 项 式 环 

设 

f(x)=ar' tazrta, g(x)=b,7" 二 二 hizr+b E RELX] 
在 RLX] 上 定义 加 法 : 
(fi+g)(z)=(a,T6) 7 二 十 (qi 十 D1 )z 二 (ao 二 bo) 

则 RLXJ] 对 于 该 加 法 构成 一 个 交换 加 群 。 

零 元 为 0,f(x) 的 负 元 为 

—fA(r)={(—a + m+(—@)i+(—ao) 
设 
f(z)=asr" Taz+ao, anA0 
g(T)=b,z" 二 "十 bz 十 bo ,bs, 0 
在 R[X] 上 定义 乘法 : 
(Fr。g)(z) = ceaze 十 … 十 cz 十 co 
其 中 , cx 3 aib; = axbo tt amb 二 abe +aob (0ZkSn+m) ,Tp 


计 j 一 上 


Cartm=anbm ?Cntml =arDniaibn co 一 aobo 

则 RLXJ 中 的 单位 元 为 1。 

RLX] 对 于 上 述 加 法 运算 和 乘法 运算 构成 一 个 整 环 。 

例 7.11 系数 为 F, 上 的 多 项 式 环 记 为 Fu[X], 其 中 多 项 式 f(z) 二 x 十 + 十 1,g(x) 二 
让 于 (EY DE(2), 

解答 ; g(x)?= (zx 二 1)?= z2 十 1,F(z)g(Cz) 一 (zz 十 z 十 1)(z 十 1) 一 zs 十 z2 十 1。 

设 F(z)= az 十 … 十 az 十 co，a 天 0, 则 称 多 项 式 f(z) 的 次 数 为 nn, 记 为 degf 一 7。 

例 7.12 整 系数 多 项 式 环 ZLX] 中 的 3z 十 2 的 次 数 为 1,x? 十 2t 十 4 的 次 数 为 2， 
如 十 1 的 次 数 为 3。 

像 整 数 环 一 样 ,引入 整除 的 概念 到 多 项 式 环 中 。 表 7. 1 给 出 了 概念 之 间 的 类 比 。 

下 面 依 次 介绍 这 些 概 念 和 公式 ,可 以 通过 上 述 类 比 进行 知识 迁移 。 

定义 7.12 设 f(z),g(zx) 是 整 环 R 上 的 任意 两 个 多 项 式 ,其 中 g(x) 0, 如 果 存 在 一 
个 多 项 式 g(x) 使 得 等 式 
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表 7.2 多 项 式 环 与 整数 环 中 整除 相关 概念 和 方法 间 的 对 照 


多 项 式 环 整数 环 
不 可 约 多 项 式 素数 
可 约 多 项 式 ( 合 式 ) 合 数 
多 项 式 Euclid 除法 整数 Euclid 除法 
因 式 (最 大 公 因 式 ) 因数 (最 大 公 因 数 ) 
倍 式 (最 小 公信 式 ) 倍数 (最 小 公 倍数 ) 
不 完全 商 不 完全 商 
余数 余 式 
不 可 约 多 项 式 判 定 检测 degf 为 n/2 素数 判定 检测 上 限 为 根 号 
(flz) ,gC7))= (g(r) ,hz)) (asD)=(b,7) 
SC fT) ti gr) = (g(r) ,hz)) sattb= (a,b) 


f(x)=g(r)g(z) 
成 立 , 则 称 g(xz) 整 除 A(z), 或 者 f(x) 被 g(x) 整除 , 记 作 g(rz)|f(z)。 这 时 ,g (x) 叫做 
f(z) 的 因 式 ,f(z) 岂 做 g(x) 的 信 式 。 否则 , 称 g(x) 不 能 整除 f(z), 或 者 /(x) 不 能 被 
g(x) 整 除 。 
设 f(x),g(x),h(z) 是 整 环 R 上 的 多 项 式 ,满足 f(x)g(z) 二 h(x), 则 有 
degf+ degg= defh 

例 7.13 整 系数 多 项 式 环 ZLX] 中 ,2z 十 312z2 十 3z,z2z 十 1|z4 一 1。 

定义 7.13 设 f(z) 是 整 环 R 上 的 非常 数 多 项 式 ,如 果 除 了 显 式 因 式 1 和 f(x) 外 ， 
f(z) 没 有 其 他 因 式 , 则 f(z) 叫做 不 可 约 多 项 式 , 否 则 , f(z) 叫做 可 约 多 项 式 ,或 者 合式 。 

注意 ,多 项 式 是 否 可 约 与 其 所 在 的 环 或 者 域 有 关 。 也 就 是 说 ,具体 可 约 不 可 约 与 系数 
所 在 的 群 有 关 。 

例 7.14 多 项 式 z’ 十 1 在 ZLX] 中 是 不 可 约 的 ,但 是 在 F,[X] 中 是 可 约 的 x? 十 1= 
(x 十 1)? ,在 复数 域 C 上 也 是 也 可 约 的 ,x? 十 1=(x 十 让 (x 一 让 。 

定理 7.7 给 定 域 K 上 的 n 次 多 项 式 f(z), 如 果 p(z) 是 f(z) 的 次 数 最 小 因 式 , 则 
p(x) 是 域 K 上 的 不 可 约 多 项 式 , 有 征 degp 三 1/2degf。 

证 明 : 反 证 法 。 如 果 p(xz) 为 可 约 多 项 式 , 则 存在 因 式 请 (z),degpl 近 degp, 使 得 
PCT)1p(z) ,从 而 py(z)1f(z), 这 与 p(z) 是 f(z) 的 次 数 最 小 的 因 式 矛盾 ,所 以 ,p(x) 是 
不 可 约 多 项 式 。 

另外 ,因为 f(z) 是 可 约 多 项 式 , 所 以 存在 多 项 式 f1(x) ,使 得 

f(r)=f1(r)p(r) ,1<degp<degfi <n 


因此 ,2degp 三 degfi 十 degp= 二 n, 于 是 .degp 志 1/2degf。 国 
定理 7.8 (多 项 式 Euclid 除法 ) 设 

f(z)=a.r"t*… 二 Taz+ao 

g(T)=6,7x" 二 二 bz+bo 
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是 整 环 R 上 的 两 个 多 项 式 , 则 一 定 存在 多 项 式 g(x) 和 r(x), 使 得 
f(z)=g(r)g(r)t+r(r) ,degr(r)<degg(z) 
证 明 : 对 f(z) 的 次 数 degf 二 nn 做 数学 归纳 法 。 
(1) 如 果 degf< degg, 则 取 g(xz)==0,r(zx) 二 f(x) ,结论 成 立 。 
(2) 设 degf 宇 degg, 假 设 结论 对 deg{ 二 n 的 多 项 式 成 立 。 
对 于 degf 二 n 宇 degg, 有 
FO y= 
(as—m—anbo) x 十 Co wz nm 1 十 … 十 ao 
这 说 明 f(x) 一 awr”"g (z) 是 次 数 三 n 一 1 的 多 项 式 , 对 其 运用 归纳 假设 或 情形 (1)， 
存在 整 系数 多 项 式 g,(z+) 和 ri(zx) 使 得 
f(r)—axr" "g(r)=qi(z)g(z)+ri(z) 
因此 ,g(xz)= wz "十 qi (x) ,r(xz)= 二 ni(z) 为 所 求 。 
根据 数学 归纳 法 ,结论 成 立 。 图 
注意 ,多 项 式 是 否 可 约 与 其 所 在 的 环 或 者 域 有 关 类 似 ,多 项 式 Euclid 除法 需要 考虑 
多 项 式 所 在 的 环 或 者 域 。 
例 7.15 在 素 域 F; 上 ,有 zz 十 t+ 十 1 二 (4zx 十 5)(2z? 十 xz 十 1) 十 6+ 十 3。 在 有 理 数 域 
Q 上 ,有 zs 十 z 十 1 一 (1/2z 一 1/4)(2z2 十 zx 十 1) 十 3/4z 十 5/4。 
定义 7.14 上 述 定理 中 ,q(Cz) 叫 做 f(x) 被 gsCz) 除 所 得 的 不 完全 商 ,rCz) 叫 做 (x) 
被 g(x) 除 所 得 的 余 式 。 
推论 1: 设 f(z) 二 =a" 十 … 十 qz 十 qo 是 整 环 R 上 的 多 项 式 ,a€R, 则 一 定 存在 多 项 
式 g(x) 和 常数 c= 二 f(a) ,使 得 
f(x)=(x—a)g(z)+e 
证 明 : 根据 定理 7.8, 对 于 f(z),g(z) 二 + 一 a € RLz], 存 在 多 项 式 g(x) ,r(x) ,使 得 
f(z)=g(zx)g(r)+r(r), degr 一 degg 
因为 degg 王 1,degr<degg. 所 以 degr 一 0,r(Cz) 一 c ER。 即 有 
f(x)=(x—a)g(z)+e 
特别 取 x=a, 有 c= f(a)。 图 
推论 2; 设 F(z) 王 az* 十 … 十 az 十 oo 是 整 环 R 上 的 多 项 式 ,aER, 则 xz 一 a| f(x) 的 
充 要 条 件 是 fF(a) 王 0。 
例 7.16 设 f(z)==x! 十 x? 十 xz 十 1,g(Xx)= 二 =z 十 x 十 1 是 F,[Xj] 中 的 多 项 式 , 求 g(x) 
和 r(z) 使 得 


f(x)=g(x)g(r)+r(r) degr 一 degg 
解答 : 利用 竖 式 除法 ,逐次 消去 最 高 次 项 


txtxtl 


x el 
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g(xz)= zzt+l1,r(r)=0, 


例 7.17 设 f(z)=x 十 Zz? 十 zx 十 1,g(x)= 二 x 十 1 是 F,[X] 中 的 多 项 式 , 求 gy (xz) 和 
ri(z) ,使 得 


f(z)=g(r) g(r)t+rn(r) ,degn<degg 
解答 : 利用 竖 式 除法 ,逐次 消去 最 高 次 项 


wpetxtl x+tl 
HG ttl 
PHX2HX+1 
的 
x+tl 
x+l 
0 


qi(z)= zi z+l,rn(zr)=0。 
例 7.18 设 f(z)=x! 十 x 十 1,g(x)==x? 十 1 是 Fs[X] 中 的 多 项 式 , 求 gy (zx) 和 r(x) 
使 得 
f(r)=g(r)q (rz)t+ri(z) ,degrni<degg 
解答 : 利用 竖 式 除法 ,逐次 消去 最 高 次 项 


x+txtl 


Xt x+1 


qi(z)= z+l1,n(r)=zr。 
根据 多 项 式 Euclid 除法 ,可 以 用 来 判定 多 项 式 整 除 关 系 。 


定理 7.9 设 /(z),g(z) 是 域 K 上 两 个 多 项 式 , 则 f(x) 被 g(x) 整 除 的 充 要 条 件 是 
f(z) 被 g(xz) 除 的 余 式 x(x) 为 零 多 项 式 。 


类 似 于 素数 的 判定 ,可 得 如 下 判定 方法 : 
定理 7.10 设 /(z) 是 域 K 上 的 n 次 多 项 式 , 如 果 对 于 所 有 的 不 可 约 多 项 式 p(x)， 
degp 三 n/2, 都 有 p(x) f(z), 则 f(x) 一 定 是 一 个 不 可 约 多 项 式 。 
例 7.19 证 明 f(z)==z? 十 z 十 1 为 Fs[Xj 中 的 不 可 约 多 项 式 。 
证 明 : F;[X] 中 次 数 <n/2 二 1 的 不 可 约 多 项 式 有 zx,x 十 1。 将 f(x) 和 这 些 不 可 约 多 
项 式 做 Euclid 除法 ,有 
f(z)=z(z+l)+1 
jz) 一 (z 十 1) 十 1 
都 不 能 整除 /(z) ,因此 ,f(zx) 为 不 可 约 多 项 式 。 
例 7.20 证 明 f(z)==xz? 十 zx 十 1 是 Fu[Xj 中 的 不 可 约 多 项 式 。 


证 明 : F,[X] 中 次 数 三 n/2 二 1 的 不 可 约 多 项 式 有 .z+ 十 1。 将 f(r) 和 这 些 不 可 约 多 
项 式 做 Euclid 除法 ,有 
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f(z)=zx(z+1)+l1 
fx)=(%4 Izt+1 
都 不 能 整除 f(z) ,因此 ,f(x) 为 不 可 约 多 项 式 。 
例 7.21 证 明 f(z)=zx? 十 zx? 十 1 是 F,[X] 中 的 不 可 约 多 项 式 。 
证 明 : F,[X] 中 次 数 三 n/2==1 的 不 可 约 多 项 式 有 zz 十 1。 将 f(x) 和 这 些 不 可 约 多 
项 式 做 Euclid 除法 ,有 
f(x)=x (zt+1)+l1 
f(z)=(z+1)zr+l1 
都 不 能 整除 f(x) ,因此 ,f(x) 为 不 可 约 多 项 式 。 
类 似 与 整数 中 的 最 大 公 因 数 和 最 小 公 倍数 ,可 以 给 出 多 项 式 环 RELX] 中 的 最 大 公 因 
式 和 最 小 公 倍 式 。 
设 f(z) ,g(x)ERL[XJ,d(zx) ERLCX] 叫 做 f(x) ,g(x) 的 最 大 公 因 式 , 如 果 : 
(1) dC) lf lr) ,dlr) g(r); 
(2) 车 hCDD1fCz) ha) g(r), 则 hr) ld(r), 
f(x) ,g(x) 的 最 大 公 因 式 记 作 (f (zx) ,g(x))。 
考虑 域 K 上 的 最 大 公 因 式 时 ,约定 其 最 高 次 项 系数 为 1, 则 最 大 公 因 式 是 唯一 的 。 
了 (x) 和 g(xz) 叫 作 互 素 的 ,如 果 它 们 的 最 大 公 因 式 (f(x) ,g(x))==1。 
设 FCz),gCz)ERLX],DCrERLX] 叫 做 f(z),g(zx) 的 最 小 公信 式 , 如 果 : 
(1) f(z) D(z) g(x) 1D(z); 
(2) 若 FCz)1AGz),sgCz)1AGz), 则 DCz)1ACz)。 
FFCz),s(Cz) 的 最 小 公 倍 式 记 作 [LFCz).gs(Cz)]。 
与 整数 除法 有 类 似 的 如 下 递 推 关 系 。 
定理 7.11 设 f(r),g(z),h(x) 是 域 K 上 的 三 个 非 零 多 项 式 ,如 果 
f(x)=g(z)g(z)+h(zr) 
其 中 g(x) 是 域 K 上 的 多 项 式 , 则 
Cf lr)y g(r) = (g(r) h(xYY 
证 明 : 设 d(x)=(f(x),g(x)d(r)=((gC67) AnGz)), 则 qdCz)|FGz),dCz)lgCz)， 
进而 
d(T f(r)+(—g(r)) g(x)=h(r) 
因此 ,d(xz) 是 g(x),h(z) 的 公 因 式 ,d(x)|d'(zx)。 
同 理 ,d'(z) 是 f(x) ,g(x) 的 公 因 式 ,d(xz)1d'(z)。 
因此 d(x)=d’(zx)。 国 
与 整数 除法 一 样 利用 反复 Euclid 除法 ,可 以 计算 (f(x) ,g(x))。 
设 /(x) ,g(x) 是 域 K 上 的 多 项 式 .degg 宇 1。 记 r_,(x) 二 f(r),r_i(z) 二 g(x), 反 
复 执行 多 项 式 Euclid 除法 ,有 : 
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rz(X) 一 qo(CZ)r (Zr) 十 mo(Cz) 0 < degro < degr 
ra(rz) = qi(z)ro (x) ri(z) 0 < degri < degro 

ro(z) = qs (Tri(z) tr(r) 0 degr: < degrm 

ra (XT) = ges (Xx)ri 3 (7) + ris (7x) 0 degri: < degre s 
res(z) = gei(z)ri s(x) ri(z) 0 < degre! < degres 


rear) = q(Tra(r)t+rn(r) rn(r)=0 


经 过 有 限 步骤 ,必然 存在 使 得 rk(x) 二 0, 这 是 因为 


0<degri <degri_1<degri_s<*…<degri<degro<degr_1=degg 


且 degg 是 有 限 正 整 数 。 
定理 7.12 设 f(x),g(z) 是 域 K 上 的 多 项 式 ,degg 三 1, 则 
(f(x),g(7))=rii (zr) 
其 中 -1(x) 是 多 项 式 Euclid 除法 中 最 后 一 个 非 零 除 式 。 
证 明 : 根据 定理 7.11. 有 
(f(x),g(r))= (r(x) ,ri(r)) 
= (ri(z) ,ro (x)) 
(rez) sr (rz)) 


= (rs (7z) rin(z)) 


(r(xz) .0) 


= ra(z) 


将 上 述 过 程 反 过 来 计算 , 则 可 以 找到 s(x) ,i(zx) ,使 得 
s(z)f (zr)+ti(r)g(z)= (f(x),g(7x)) 


CE 


例 7.22 f(z)=z' 二 zz:+1E€EF [LX] g(rz)=72 二 2 二 xzEFLX1, 求 (f(z)， 


8(X)) ,并 求 yCz),tCz) ,使 得 yCz)FCz) 十 txz)gCz) 一 CFCz),gsCzr))。 
解答 : 利用 多 项 式 Euclid 除法 以 及 逆 过 程 ,有 : 
sr sh be sk. le | Cer 二 rT (zt) 
x 二 zz 二 (2 十 让 十 2)(z 填 D 二 1 
《sl 
于 是 (f(x),g(x))=1。 
反 过 来 写 : 


1 二 x 十 Tz 十 x 十 (xz 十 x 十 1)(z 十 1) 
三 丰硕 证 让 《Ee 寺 玉 二 由 (f(a7 上 (二 Wa 
(十 区 十 1)f(z) 十 (x 十 十 D(x 十 1)g(x) 
(zs 十 zz 十 1)FCz) 十 (zs 十 z5 十 zz 十 1)g(Cz) 
于 是 s(x)= zx 十 zx? 十 1, t(x) 六 证 证 十 放生 和 


定理 7.13 设 f(r),g(z) 是 域 K 上 的 多 项 式 , 则 
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S17T)) f(T) Ht rg (rz)= (f(r) ,g(x)) 
对 于 j= 二 0,1,2,…,k 一 1, 这 里 5; ,t; 归纳 定义 为 


s-2(X)=1,s-1(7)=0, s(x)=s-2(7)—qg; (x)s-1(7), 


ts (x)=1,t-1(7)=0, sz)=6-2(7)—g; (zt -1(7), 
Jj 一 0,1,2,… 一 1。 
其 中 w(z) 是 (7.1) 式 中 的 不 完全 商 。 
证 明和 整数 的 情况 类 似 。 
由 定理 7. 13 可 得 到 多 项 式 扩展 的 Euclid 除法 算法 7. 1 ,该 算法 在 计算 最 大 公 因 式 的 
同时 ,也 计算 出 模 不 可 约 多 项 式 的 乘法 逆 元 。 


算法 7.1 多 项 式 Extended Euclid 算法 求 逆 元 。 
输入 :两 个 多 项 式 m(x) ,b(x)，degb 一 degm,m(x) 是 不 可 约 多 项 式 。 
输出 :(Cm(x),bCx))，b(x) 在 模 m(x) 中 的 乘法 逆 元 。 


ExtendedPuclidn(x)，b(x)){ 

1 (A(z) ,2 (x) ,D3(z)) (1,0,m(x)); (Bl,B2,B3)< (0,1,b(x)); 

2 If B3(x)=0 Returmn A3(x), 'No Inverse'7 

3IfB3(x)=1 Retum B3(x), B2(x); 

4 QA3(x)/B3(x); 

5 (Tenpl (x), Tenp2 (x), Tenp3 (x)) < (Al (x)- Q(x)Bl (x) ,A2 (x)- Q(z)B2 (x) ,D3(z)- Q(z)B3 (x)) 
6 Al(x) ,B(x) ,D3(x)) Bl(x),B2 (x),B3(x)) 

7 (Bl(x),B2 (x),B3(x))< (Tenpl (x), Tenp? (x), Tenp3(x)) 

8 Goto 2 

} 


容易 看 到 ,算法 7. 1 和 算法 1.4 是 类 似 的 。 
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定义 7.15 ”给 定 RELXJ 中 的 一 个 首 一 多 项 式 m(x) ,两 个 多 项 式 f(x) ,g(x) 模 mm(x) 
同 余 , 如 果 m(z) f(z) 一 g(xz), 记 作 f(z) 三 g(x) (mod m(zx)); 否 则 叫做 模 mx(x) 不 同 
余 , 记 作 

f(x)Ag(7r) (mod m(z)) 

任 一 多 项 式 f(z) 都 与 其 被 m(z) 除 的 余 式 r(z) 模 m(zx) 同 余 . 余 式 r(z) 叫 做 f(x) 模 
m(z) 的 最 小 余 式 , 记 作 (f(zx) mod m(x))。 

定理 7.14 设 f(z)EFLXJ], 则 FLXJ/f(z) 为 域 当 且 仅 当 f(x) 为 域 上 的 不 可 约 
多 项 式 。 
与 Z/nZ 类 似 ,FLX]/f(zx) 中 的 元 素 即 为 次 数 小 于 f(x) 次 数 的 所 有 下 上 的 多 项 式 ， 
其 中 的 加 法 、 乘 法 运算 分 别 为 模 多 项 式 fCz) 的 加 法 和 乘法 运算 , 若 下 = F, ,degf 二 nn, 则 
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IF,LXJ]/f(zx)|=p"。 

例 7.23 设 f(z)= 二 十 x 十 1 EFs[Xj], 则 f(z) 在 F, 上 是 不 可 约 的 ,由 定理 7.14 
知 ,F,[X]/f(z) 构 成 一 个 具有 |F[X]/f(zx)|==2? = 二 4 个 元 素 的 域 。| Fs[X]/f(zx)|= 
{Lo],[1],[z],[z 十 1])。 其 元 素 运 算 表 如 表 7.3 和 表 7.4 所 示 。 


表 7.3 Fi[X]/f(x) 的 加 法 表 


* [0] [1] [zx] [十 世 
[0] Lo] [1] [z] [zx 二 楚 
[11 [1] [0] [zt+1] [z] 
Lz] [z] fz 二 可 [0] [Lua 

fx 和 Ez+y [Lz] [1] [o] 


表 7.4 F,[LXJj/f(x) 的 乘法 表 


[0] [1] [z] [x 二 + 刀 
[0] [0] [0] [0] [0] 
[1] [0] [1] [zx] 上 直到 
EL [oJ [z] [z+1] 013 
[z+1] [0] [z+1] [1] [z] 


从 运算 表 可 以 看 出 ,[0] 是 零 元 ,[1] 是 单位 元 。 
例 7.24 设 F=Z/pZ 是 一 个 有 限 域 ,其 中 为 素数 ,p(xz) 是 FLX] 中 的 nn 次 不 可 约 
多 项 式 , 则 
FLX]/(Cp(Cz)) 一 (anz" 十 十 az 十 aolaoEF) 
记 为 Fy 。 这 个 域 中 元 素 的 个 数 为 如。 
Fw 中 的 加 法 和 乘法 分 别 是 ， 
Frz) 十 gCzr) 一 (CF+g)Cz) (mod PCz)) 
Crz)。gCr) = (fe) (zr) (mod pr)) 
设 ,是 g 元 有 限 域 ,其 特征 p 为 素数 。 下 面 证 明 :F; 二 F,\40} 是 gq 一 1 阶 循环 乘 群 。 
下 面 讨论 Fi 的 一 些 性 质 。 
定理 7.15 Fs 的 任意 元 素 的 阶 整除 g 一 1。 
定义 7.16 有 限 域 F, 的 元 素 g 叫做 生成 元 ,如 果 它 是 F; 的 生成 元 , 即 阶 为 g 一 1 的 
元 素 。 当 g 是 下 ,的 生成 元 时 ,有 FF, 二 {0,g" 二 1,g.g?,…,g 2) 。 
类 似 第 5 章 中 原 根 的 判定 方法 ,可 以 得 到 有 限 域 F 的 元 素 g 是 否 为 生成 元 的 一 个 判 
定 方 法 。 
定理 7.16 设 g 是 有 限 域 Fi" 中 的 元 素 ,p" 一 1 的 所 有 不 同 素 因数 是 qi,… ,gi, 则 gg 
是 有 限 域 y 的 一 个 生成 元 的 充 要 条 件 是 
Be DA l= sk 
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定理 7. 16 其 实 给 出 了 求 有 限 域 的 生成 元 的 方法 。 
下 面 给 出 有 限 域 的 三 条 结构 定理 。 
定理 7.17 设 下 是 一 个 特征 为 素数 户 的 有 限 域 , 则 下 中 的 元 素 个 数 为 加 光 是 一 个 
正 整数 。 
定理 7.18 (存在 性 ) 对 于 任何 素数 p 和 任意 正 整 数 ,都 存在 一 个 有 限 域 含有 p" 个 
元 素 。 
定理 7. 19 (唯一 性 ) 任 意 两 个 g=p" 元 域 都 同 构 , 即 p" 元 域 在 同 构 意 义 下 是 唯 
一 的 。 
例 7.25 2Z, 是 一 个 特征 为 素数 p 的 域 , 且 其 非 零 元 素 Z, * = 二 (1, 2,…, p 一 1) 形 成 
一 个 p 一 1 阶 循环 群 。Z, 不 是 特征 为 p 的 唯一 域 ( 见 定理 7. 17)。 另 外 事实 上 ,任何 有 限 
域 的 乘法 群 都 是 循环 群 ,例如 F,, (这 里 g=p") 一 个 p" 一 1 阶 循环 群 。 
例 7.26 Z,[X] 中 有 许多 次 数 为 n 的 不 可 约 多 项 式 , 但 可 以 证 明 , 有 任何 两 个 次 不 
可 约 多 项 式 构造 的 域 是 同 构 的 。 因 此 ,存在 唯一 的 p"(p 是 素数 ,n 三 1) 个 元 素 的 有 限 域 ， 
记 为 F,, (这 里 dg 王 加)。7 为 1 是 , 忆 与 Zo 相 同 。 可 以 证 明 , 如 果 存 在 -~ 个 元 素 的 有 限 域 ， 
则 一 定 存在 某 个 素数 p 及 某 个 整数 2 之 1, 使 得 一 p"( 见 定理 7.18 和 定理 7.19。) 
定理 7.20 每 个 有 限 域 都 有 生成 元 ,如 果 g 是 下, 的 生成 元 , 则 g” 是 F, 的 生成 元 当 
且 仅 当 & 和 g 一 1 的 最 大 公 因 数 (d, g 一 1) 二 1, 特 别 地 ,F, 有 更 (q 一 1) 个 生成 元 。 
推论 设 g=p",p 为 素数 ,dlg 一 1, 则 有 限 域 ,中 有 阶 为 的 元 素 。 
例 7.27 求 Fz = 二 Fa[Xj/(x* 十 x 十 1) 的 生成 元 g(x), 并 计算 g(x)',t==1,2,…,14 
和 所 有 的 生成 元 。 
解答 : 因为 | F; | 二 15 二 3。5, 所 以 满足 
g(z)3 天 1 (mod x 十 x 十 1), g(x); 关 1 (mod x 十 x 十 1) 
的 元 素 g(z) 都 是 生成 元 。 
对 于 g(xz)= 二 z+, 有 
3 天 1 (mod x 十 X 十 1), x 半 1 (mod x 十 x 十 1) 
所 以 g(x)= 二 + 是 Fi[X]/(mod x 十 x 十 1) 的 生成 元 。 
对 于 1 二 0,1,…,14, 计 算 g(x)'(mod x 十 x 十 1) 如 下 : 
g(7T)"=1,g(7z)!=r,g(7): =7r ,g(x7) = 
g(X)=z+1l,g(r)’ = z+r,g(r) = rri,g(r)’ = xixz+tl 
g(r = x +l g(r = z+rg (rT) =2 z+ ls) =2 r+ 
g(T)*= 好 十 好 十 z 十 1，g(Zz) 一 zx: 二 zx’ 十 lg(zx)*=zx’ 二 1 


所 有 生成 元 g(x)',(t,15) 二 1, 取 1 二 1,2,4,7,8.,11,13,14 时 的 计算 结果 可 得 到 生 


成 元 。 
有 限 域 在 对 称 加 密 算法 设计 中 有 大 量 的 应 用 .例如 在 AES 密码 算法 中 便 涉及 有 限 域 
Fzs 二 Fo[X]/(zs 十 x 十 十 z 十 1) 及 其 生成 元 g 一 z 十 1,7. 3. 2 节 将 详 述 。 
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73 ” 环 和 域 在 AES 加 密 中 的 应 用 


1997 年 美国 NIST 发 起 公开 征集 高 级 加 密 标准 (Advanced Encryption Standard， 
AES) 算 法 的 活动 ,目的 是 寻找 一 个 安全 性 能 更 好 的 分 组 密码 算法 蔡 代 DES。AES 的 基 
本 要 求 是 安全 性 能 不 能 低 于 三 重 DES, 且 执行 速度 比 三 重 DES 快 。 而 且 分 组 长 度 为 128 
位 ,并 能 支持 长 度 为 128 位 、192 位 、256 位 的 密 钥 。 

1998 年 ,NIST 召开 了 第 一 次 AES 候选 会 议 , 公 布 了 15 个 满足 AES 基本 要 求 的 算 
法 作为 候选 算法 ,并 提请 公众 协助 分 析 这 些 候选 算法 。1999 年 NIST 召开 了 第 二 次 AES 
获 选 会 议 , 公 布 了 第 一 阶段 的 分 析 和 测试 结果 ,从 15 个 候选 算法 中 选 出 了 5 个 决赛 算法 
(Mars、RC6、Rijindael、Serpent 和 Twofish)。2000 年 ,NIST 召开 第 三 次 AES 候选 会 议 ， 
通过 对 决赛 算法 的 安全 性 .速度 以 及 通用 性 等 要 素 的 综合 评估 ,最 终 决 定 比 利 时 密码 学 家 
Joan Daemen 和 Vincent Rijmen 提出 的 “Rijndael” 数 据 加 密 算 法 修改 后 作为 AES。2001 
年 NIST 正式 公布 AES, 并 与 2002 年 5 月 开始 生效 。 


731 AES 的 设计 思想 


1. 基本 安全 参数 

分 组 长 度 为 128 位 , 密 钥 长 度 可 以 独立 设置 为 128、192 和 256 位 ,因此 AES 有 3 个 
版 本 ,AES-128、AES-192、AES-256。 相 应 的 迭代 轮 数 为 10、12、14。 

128 位 的 输入 明文 分 组 为 16 字 节 ,通常 用 图 形 表示 为 4。4 的 正方 形 矩 阵 , 称 为 状态 
(CState) 和 矩阵 。 例 如 ,对 于 128 比特 的 分 组 ,可 分 成 16 个 字 节 ,从 左 到 右 为 s00 810820 $30 so1s11 
21 531S02S12 S22 $32 S03 $13 $523533 。 状态 矩阵 S 表示 为 如 下 矩阵 


AES 算法 的 分 组 长 度 固 定 为 128 比特 。Rijndael 中 分 组 长 度 还 可 为 192 或 256 比 
特 , 则 相应 的 列 数 为 6 列 和 8 列 。 因 此 ,AES 可 视 为 Rijndael 算法 的 子 集 。 
类 似 地 ,可 从 输入 密 钥 构造 轮 密 钥 RoundKey 和 矩阵。 


2 设计 思想 

Rijndael 的 设计 目标 是 : 抵抗 所 有 当时 已 知 的 攻击 ;在 多 个 平台 上 速度 快 ,编码 紧 
凑 ; 设 计 简单 。Rijndael 没有 采用 DES 中 的 Feistel 结构 ,其 轮 函 数 是 3 个 不 同 的 可 道 变 
换 组 成 的 。 轮 函数 中 有 三 种 功能 层 : 

(1) 线性 混合 层 一 一 确保 多 轮 之 后 的 扩散 ; 

(2) 非 线 性 层 一 一 将 具有 最 优 的 “最 坏 情况 非 线 性 特性 ?的 S 盒 并 行使 用 ; 

(3) 密 钥 加 层 一 一 将 轮 密 钥 和 每 一 轮 结 果 进 行 相 加 ( 异 或 ) 。 
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732 AES 中 S 盒 的 设计 


1 AES 的 总 体 结构 

如 图 7. 3 所 示 ,Rijndael 加 密 算 法 的 轮 函 数 采用 SP(Substitution-Permutation) 结 构 ， 
每 一 轮 由 字 节 代 换 (SubByte) , 行 移 位 变换 (ShiftRow) 、 列 混合 变换 (MixColumn) 、 轮 密 
钥 加 变换 (AddRoundKey) 组 成 。 加 密 过 程 执行 一 个 “初始 轮 密 钥 加 ”, 然 后 执行 N, 一 1 
(CN 为 迭代 轮 数 ) 次 “中 间 轮 变换 ”, 以 及 一 个 “ 末 轮 变换 ”。 


二 人 窗 钥 


产生 轮 密 钥 


AddRoundKey 


1 


Round(State, ExpandedKey) 
了 
\ 
SubByte(State); 
ShiftRow(State); 
MixColumn(State); 
AddRoundKey(State, ExpandedKey); 


Nr-l 


+ 明文 
一 | _ 初 始 轮 密 钥 加 f 
原始 密 钥 | | ------ 和 -一 FinalRound(State, ExpandedKey) 


| 守节 代 
1 ! 字 节 代 换 SubByte(State); 
密 钥 扩展 1 = ShiftRow(State); 
上 | 行 移 位 与 列 混合 AddRoundKey(State, ExpandedKey); 
1 } 
| 
!~| 加 帘 钢 各 1 


图 7.3 AES 总 体 结构 


2 AES 中 的 字 节 代 换 (SubByte) 部 分 

这 是 AES 中 的 每 一 轮 工作 的 首要 部 分 。 

通常 将 字 节 代 换 的 计算 结果 先 制 成 S 盒 表 格 ,通过 利用 查 表 进 行 快速 变换 。 
例如 “F5” 查 表 后 得 到 “E6”,“56” 查 表 后 得 到 “B1”, 等 等 。 

例如 ,如 下 给 出 一 个 输入 输出 状态 矩阵 的 例子 : 


FE5 | 56| 10 | 20 E6 |B1 |CA B7 
6B | 44|57|39 S 盒 代 换 | 正 | ]B 5B | 12 
01 03 |6c | 21 7C|7B|s0 FD 
AF | 30 32 | 34 719|o4|23 18 


问题 是 S 盒 是 如 何 设计 的 ? 
AES 的 S 盒 设计 不 像 DES 的 S 盒 设计 那么 神秘 (S 盒 的 设计 方法 没有 给 出 具体 原 
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;因此 有 人 担心 其 中 会 有 后 门 ) ,而 是 有 严格 的 数学 计算 。 其 设计 原理 是 将 一 个 字 节 非 
线性 地 变换 为 另 一 个 字 节 。 由 两 个 变换 复合 而 成 : 一 个 是 求 GF(2 ) 上 的 乘法 逆 , 一 个 是 
仿 射 变换 。 

(1) 变换 1: 求 逆 。 

令 字 节 z(z) 王 zz 十 zezs 十 … 十 zz 十 z, 先 在 有 限 域 GF(2s) 中 求 其 关于 mm(zx)= 
十 zx 十 十 z 十 1 的 乘法 逆 元 ,规定 “00” 的 道 为 "00”。 
也 就 是 说 ,将 a 隆 0,a€ GF(2) 变 换 到 其 逆 元 。 
即 有 映射 : 


ti:GF(28) 一 GF(28) ,a rt (a) 
4 一 0,t(o) 一 0;4d 天 0,.ta) 一 4 
(2) 变换 2: 仿 射 变换 。 
[yo y1 ya ys ys ys ye y1]' =ALzo zi za zs za Ts ze x1 BLO1100011] 
这 里 4 为 一 个 规定 的 矩阵 。 
具体 而 言 ,给 定 w(z) 王 z7 十 z 十 zs 十 zt 十 1,oCz) 一 z7 十 xz 十 zz 十 xz, 定义 映射 ， 
Lu:GF(25) 一 GF(23) ,Lo(Ca) 一 0 


对 任意 的 

a=(araeasasasasaiao) E GF(2) 
先 将 a 表示 成 多 项 式 

a(z) 一 az 十 … 十 azz2 十 az 十 ao 
然后 计算 

6(z) 一 xKCz)a(z) 十 oCz) mod (zs 十 1) 

设 

pz) 一 0 十 … 十 02z2 十 加 十 bo 
则 


La)=6= [6rbebsba bababibo JE GF(2:) 
仿 射 变换 Le。 可 用 矩阵 表示 , 即 为 


bo 1000111 1]®“| fi 
hh oo 1 
bs L000 1 Tll 6 
&| Ii110 0 0 al lo 
a ly 1 i 1 0 0 ol lo 
[A | 二 二 下 下 和 下 人 二 | 志 1 
而 oro. 日 
Bi oo 0 tL TL Wal WW 


从 另 一 个 角度 来 看 ,满足 : 
bi=a:Dauiry mod 8 Dacits) mod 8 Dacite) mod8 Pacitn mods Ds 
ci 为 (63)s 二 (01100011), 的 第 i 位 。 
可 见 ,通过 上 述 等 式 计算 可 快速 进行 , 且 具 有 混淆 (Confusion) ,分 组 加 密 通 常 由 混淆 
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和 环 与 域 mm 
和 置换 两 个 部 分 组 成 的 效果 。 

从 一 般 原理 上 解释 ,SubByte 代 换 可 视 为 S.。 王 L。。t, 即 先 做 逆 运 算 , 再 做 仿 射 运 
算 。 虽 然 复合 变换 S,,, 的 两 个 变换 LL,,, ,t 都 是 对 GF(2) 中 的 元 素 进行 计算 ,但 是 却 使 用 
了 不 同 的 数学 结构 : t 是 在 有 限 域 GF(2) 二 F(x)/m(zx) 上 进行 ,而 Ls, 却 是 环 Fs[x]/ 
(zx 十 1) 上 进行 。 尽管: 和 工 ,,, 都 非常 简单 ,但 它们 的 复合 运算 却 非常 复杂 。 这 种 集合 相 
同 但 数学 结构 不 同 的 运算 的 复合 ,是 AES 的 字 节 代 换 具有 " 非 线 性 性 ”的 保证 。 这 一 方法 
已 成 为 分 组 密码 设计 的 常用 方法 。 同 时 ,由 于 这 两 个 变换 都 是 可 逆 的 , 故 存在 逆 复 合 

例 7.28 以 F5 为 例 说 明 S 盒 的 替代 操作 。 不 通过 查 表 ,而 通过 代数 运算 。 首 先 求 
解 “F5” 在 GF(23) 上 的 乘法 逆 元 。 输 入 “*F5” 对 应 *11110101”, 对 应 多 项 式 (zx? 十 x 十 x 十 
zt 十 x? 十 1) , 求 其 模 m(x)==z 十 x 十 十 x 十 1 的 道 , 即 求 (zx? 十 x 十 xz 十 zt 十 十 1)。 
a(X) 三 1 mod m(x), 通 过 扩展 的 Euclidean 算法 , 求 得 其 逆 为 (zs 十 zz 十 z)。 表 示 为 二 进 
制 为 "01000110”。 再 进行 仿 射 变换 ,代入 矩阵 


王 ,es 
和 1 
1 ol 
i 1 0 0 Tio llol lo 
1111100 olo®lo 
0111110 ollol lil li 
vO Tl | 
O00 YT TY od led Li 


得 到 二 进 制 结果 为 : 111001110, 对 应 十 六 进 制 结果 为 *E6”。 
SubByte 用 到 了 AES 中 的 第 一 个 基本 运算 , 称 为 字 节 运算 , 即 有 限 域 GF(2*) 上 的 运 
算 (AES 的 第 二 个 基本 运算 是 字 运 算 , 即 系数 在 有 限 域 GF(2*) 上 的 运算 )。m(x)€ 
Fs[z] 是 一 个 8 次 不 可 约 多 项 式 , 故 由 m(x) 可 生成 一 个 有 限 域 GF(2)。 
GF(2:)=F,[z]/(m(z))= {bort+br br bro rz’ thr tb rr |0; GE 
F,,i=0,1,°.…,7}={(bbebsbsbsbsb1b0) 1b EF,,i=0,1,.…,7} 
加 法 为 模 2 加 法 ,实际 上 相当 于 异 或 。 减 法 其 实 等 于 加 法 ,因为 一 1 的 逆 为 1。 例如 ， 
(zx' 十 x 十 TX? 十 Xz 十 1) 十 (x? 十 Xx 十 1)= 二 zx? 十 x 十 Xt 十 Xx?。 多 项 式 乘 以 x(xtime 操作 ), 即 
左 移 1 位。 例如 求 ><(x)，x, 闭 zi 二 0, 则 结果 为 左 移 1 位 。 若 x1 二 1, 则 左 移 1 位 后 ,再 求 
模 , 通 常 是 减 去 模 多 项 式 m(x), 减 去 即 为 加 上 。 例 如 (zx 十 x 十 十 x 十 DD) (x? 十 zx 十 1) 二 
z7 十 zs 十 1 mod m(x)。 计 算 过 程 等 同 于 计算 (57)1。* (83)16 ,由 于 ， 
5716 * 0216 = xtime(5716)=ae16 ,5716 * 0416 = xtime(ae16 )=4716 
5716 * 081s = xtime(4716)=8e1s .5716 * 1016 = xtime(8e1e)=071e 
5716 * 2016 = xtime(0716)=0e16 ,5716 * 4016 =xtime(0e16)=1c 
5716 * 8016 = xtime(5716)=3816 
故 (57)1。，(83)16 二 571。 * (0116 外 0216 十 8016) 二 (ec1)16 二 (1100 0001)s, 即 xz 十 x 十 1。 
另外 ,由 于 m(z) 是 不 可 约 的 , 故 可 保证 求 出 (需要 加 密 的 多 项 式 ) 的 道 元 。 
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_ 7。 环 在 NTRU 密码 体制 中 的 应 用 


NTRU(Number Theory Research Unit) 公 开 密 钥 算 法 是 一 种 新 的 快速 公开 密 钥 体 
制 ,1996 年 在 Crypto 会 议 上 由 布朗 大 学 的 Hoffstein、Pipher、Silverman 三 位 数学 家 提 
出 。 经 过 几 年 的 迅速 发 展 与 完善 ,该 算法 的 密码 学 领域 中 受到 了 高 度 的 重视 并 在 实际 应 
用 (如 艇 入 式 系统 中 的 加 密 ) 中 取得 了 很 好 的 效果 。 

NTRU 是 一 种 基于 多 项 式 环 的 密码 系统 ,其 加 密 、 解 密 过 程 基于 环 上 多 项 式 代 数 运算 
和 对 数 p 和 g 的 模 约 化 运算 ,由 正 整 数 N、p\g 以 及 4 个 N 一 1 次 整 系数 多 项 式 (f,g,r， 
m) 集 合 来 构建 。N 一 般 为 一 个 大 素数 ,p 和 g 在 NTRU 中 一 般 作为 模 数 ,这 里 不 需要 保 
证 p 和 g 都 是 素数 ,但 是 必须 保证 (p,qg) = 二 1, 而 且 g 比 p 要 大 得 多 。 R=Z[X]/(zxN 一 1) 
为 多 项 式 环 , 其 元 素 fCAER) 为 : f 二 an-1xN 十 … 十 qa1x 十 ao。 定 义 RR 上 多 项 式 元 素 之 
间 加 运算 为 普通 多 项 式 之 间 的 加 运算 ,用 符号 十 表示 。R 上 多 项 式 元 素 之 间 乘 法 运算 为 
普通 多 项 式 的 乘法 运算 ,乘积 结果 要 进行 模 多 项 式 zx 一 1 的 运算 ,用 符号 @ 表 示 。R 上 
多 项 式 元 素 模 4 运算 就 是 把 多 项 式 的 系数 作 模 4 处 理 , 用 mod g 表示 。 

NTRU 密码 体制 描述 : 


(1) 密 钥 生成 。 随 机 选择 两 个 N 一 1 次 多 项 式 / 和 g 来 生成 密 钥 。 利 用 扩展 的 
Euclidean 算法 对 f 求 逆 。 如果 不 能 求 出 f 的 逆 元 ,就 重新 选取 多 项 式 f。 用 F, ,下 
表示 f 对 p 和 g 的 乘 逆 。 即 : F,@f 寺 1 mod g,F,@f 三 1 mod p。 

计算 : h 三 F,@g mod gq 

最 后 得 : 公 钥 为 (N,p,q,h), 私 钥 为 (f ,FF,)。 

这 里 F, 可 以 从 了 容易 地 计算 得 到 ,但 仍然 作为 私 钥 存 储 , 这 是 因为 在 解密 时 需要 
使 用 这 个 多 项 式 ,而 F, 和 g 就 不 需要 存储 了 。 

(2) 加 密 算法 。 首 先 把 消息 表示 成 次 数 小 于 N 且 系 数 的 绝对 值 至 多 为 (p 一 1)/2 
的 多 项 式 m, 然 后 ,随机 选择 多 项 式 rEL ,并 计算 : c 三 (pr@Oh 十 m) mod gqg。 密 文 是 多 


项 式 c。 
(3) 解密 算法 。 收 到 密 文 c 后 ,可 以 使 用 私 钥 (f,F,) 对 密 文 c 进行 解密 。 依 次 
计算 ， 
a=(f@c) mod g, a€E (—g/2,g/2) 
b=a mod p 
m=F,b modp 
一 致 性 证 明 : 由 于 


a 三 fc mod g=(fO prOh+m) mod g) mod gq 
=(fOprOh+ ffOm) modg 
=(fOprOF, Og+fOm) mod gq 
(prOg+fOm) mod g 
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又 因为 a 的 系数 在 区 间 ( 一 g/2.g/2), 所 以 pr@Og 十 fm 的 系数 在 区 间 ( 一 g/2， 
d/2) , 故 pr@Og 十 fm 模 g 后 结果 不 变 。 因 此 
F,b mod p =(F,a mod p) mod jp= 忆 QCprQg 十 Am mod p 
三 (PbprQsg 十 已 四 AQ mod p=m mod p 
从 而 解密 成 功 。 

非 正 式 地 说 ,该 加 密 算法 的 设计 思路 是 : 利用 随机 多 项 式 ~ 和 公 钥 h 生成 一 个 “ 密 铀 
多 项 式 ”, 利 用 这 个 密 钥 多 项 式 对 m 进行 加 密 得 到 密 文 多 项 式 。 解 密 时 利用 多 项 式 取 模 ， 
约 去 随机 多 项 式 7, 利 用 多 项 式 的 逆 , 解 出 明文 多 项 式 。 可 见 ,同一 个 明文 在 不 同 的 加 密 
中 会 产生 不 同 的 密 文 。 

例 7.29 设 (N,p,g)==(5,3,6), 以 及 f=zxt 十 x 一 1 和 8 一心 一 z, 求 公 钥 私 钥 对 以 
及 描述 加 密 解密 过 程 。 

解答 : 由 于 (zx! 十 xz 一 (zx? 十 x? 一 1) 二 1 mod 3, 故 有 下 ,二 x 十 x? 一 1, 同 理 可 求 得 
下 二 x 十 xXx? 一 1。 又 由 于 hh 二 FF 的 g mod 16 三 一 x 一 2x* 十 2x? 十 1, 所 以 公 钥 为 
(N,prqsh) 二 (5,3,16, 一 x 一 273 十 2x? 十 1); 私 钥 为 (f,F,) 二 (x 十 x 一 1,x? 十 zx? 一 1)。 

加 密 过 程 : 首先 将 消息 m 表示 成 多 项 式 m 二 zx? 一 + 十 1, 然 后 选取 多 项 式 r 二 x 一 1, 则 
密 文 为 : c 三 3rG@1 十 mm 三 一 3z4 十 6z3 十 7z2 一 4z 一 5 mod 16。 

解密 过 程 : 首先 计算 a 三 /@c==4x! 一 27’ 一 5x? 十 6x 一 2 mod 16 ,计算 ,Ba 二 x? 一 
Zz 十 1 mod 3, 这 样 就 恢复 了 消息 mm。 

讨论 : 解密 过 程 有 时 候 可 能 无 法 恢复 出 正确 的 明文 ,因为 : 

在 解密 过 程 

a’ 三 (fe) mod g=/O prOh+m) mod g=(prOg+fOm) modg 
中 ,如 果 多 项 式 pr@g 十 /Om 的 系数 不 在 区 间 ( 一 g/2,g/2), 则 
fprOh+m) mod q 天 prGg 十 Com 
设 f{@O(pr@h 十 mm) 二 pr@Og 十 fm 十 quwu 为 多 项 式 , 并 且 wx 的 系数 不 全 为 0, 计算 ， 
e=F,Qa’ mod p=F,O(prOg+fOm+qu) mod p 
=F,OprOg+F OfOm+F, qu mod p 

由 于 p 和 g 互 素 ,所 以 e' 圭 m 十 F,@qu mod p 关 m, 所 以 解密 失败 。 

通过 选择 恰当 的 参数 N、p、g 就 能 够 避免 以 上 错误 ,例如 取 (N,p,g) 二 (107,3,65) 和 
(CN,p,g) 二 (503,3,256) ,实验 表明 解密 错误 的 概率 小 于 5。10 ,这 就 是 通常 能 正确 解 
密 的 原因 。 

安全 性 讨论 : 

NTRU 算法 的 安全 性 是 基于 在 一 个 具有 非常 大 维 数 的 格 (Lattice) 中 寻找 最 短 向 量 
(Shortest Vector Problem,SVP) 问 题 是 困难 的 。 只 要 恰当 地 选择 NTRU 的 参数 ,其 安 
全 性 与 RSA ,ECC 等 加 密 算 法 是 一 样 安全 的 。 同 时 .NTRU 基于 的 困难 问题 没有 量子 算 
法 可 解 , 也 称 为 后 量子 密码 (Post-quantum Cryptograph) ,或 者 量子 免疫 密码 (Quantum 
immune Cryptography) 。 
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[1] 程序 实现 多 项 式 Euclid 除法 。 
[2] 程序 实现 多 项 式 广义 Euclid 除法 。 
[3] 证 明 x 十 xz? 十 1 是 F,[x] 中 的 不 可 约 多 项 式 , 从 而 Fo[zj]/(zrt 十 x 十 1) 是 一 个 


[4] 求 Fx = 二 Fs[xj/(x' 十 x 十 1) 的 生成 元 g(x) ,计算 g(r)' ,t= 二 0,1,…,14 和 所 有 生 


5] 编写 程序 输出 AES 的 S 盒 。 
6] 编写 程序 实现 NTRU 密码 体制 。 
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S 将 
全 5 素性 检测 


本 章 介 绍 素数 的 判定 方法 。 重 点 是 Fermat 测试 ,难点 是 Miller-Rabin 测试 。 


8.1 素数 的 一 些 性 质 


生成 合适 的 p 和 g 是 RSA 中 密 钥 生 成 以 及 RSA 安全 性 的 关键 。 素 数 产生 的 办 法 是 
随机 选择 一 个 数 , 然 后 测试 其 是 否 为 素数 。 这 里 随机 选择 比 从 一 个 固定 的 表 中 选择 素数 
要 更 加 安全 。 虽 然 在 2002 年 ,Agrawal、Kayal 和 Saxena 证 明了 存在 一 个 素性 判断 的 多 
项 式 时 间 的 确定 性 算法 ,但 是 其 效率 不 如 概率 判定 算法 。 因 此 在 实际 应 用 中 ,素性 检测 仍 
然 主要 利用 概率 多 项 式 时 间 算 法 。 

目前 最 大 的 已 知 素数 是 梅森 (Mersenne) 素 数 2 一 1( 此 数字 位 长 度 是 12978189。 
梅森 数 是 指 形 如 2 一 1 的 数 , 记 为 M, ,如 果 一 个 梅森 数 是 素数 ,那么 它 称 为 梅森 素数 。 该 
书 是 第 47 个 素数 , 记 为 Misaazsoe ) , 它 是 在 2008 年 8 月 23 日 由 GIMPS 发 现 。 梅 森 数 常用 
来 检验 素性 检测 算法 的 性 能 。 

思考 以 下 几 个 问题 : 

(1) 素数 会 不 会 用 完 , 即 素数 是 无 穷 的 吗 ? 

定理 1.5 已 经 证 明了 素数 有 无 穷 多 个 。 

(2) 素数 在 自然 数 中 占 的 比重 如 何 , 是 否 能 够 很 快 找到 一 个 素数 ? 

定理 8.1 素数 定理 : 设 x(x) 表 示 三 x 的 素数 的 个 数 , 则 


TCZ) 
zx/lnr 


工 充分 大 时 ,x(z) 之 x/lInz。 由 素数 定理 知 ,对 于 正 整 数 N, 不 超过 N 的 素数 数目 大 
约 为 N/InN。 即 任意 一 个 整数 , 它 小 于 N 且 是 素数 的 概率 为 1/InN。 假 设 生成 长 度 为 
512bit 的 素数 (首位 为 1) , 则 长 度 为 512bit 的 素数 个 数 为 : 

253 /ln 2 — 2 /ln 22=2% 2 /(513ln2)—2:2/(512% ln2) 
0. 0028。2512 <z2512/357<z2503.5 和 z10151 
(这 个 数 非常 大 ,要 知道 宇宙 中 原子 的 数量 也 仅仅 为 107 .) 任 何 一 个 长 度 为 512bit 的 数 为 
素数 的 概率 为 255 /1(253 一 222)S1/357。 即 平均 每 357 个 (长 度 为 512bit) 的 数 中 就 有 一 
个 是 素数 。 其 中 偶数 (末尾 为 二 进 制 的 10) 的 数 不 用 测试 ,于 是 平均 测试 为 357/2s:179 
次 , 即 为 了 发 现 一 个 长 度 为 512bit 的 素数 ,平均 测试 179 个 长 度 为 512bit 的 数 就 会 发 现 


二 人 


lim, -~ 
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一 般 地 ,长 度 为 : 比特 的 素数 大 约 有 : 

2 2 (1 
lIn2*t! ln2: tt 十 1)ln2 

(3) 如 果 很 多 人 都 选择 512 比特 的 p ,会 不 会 出 现 重复 ? 

重复 的 概率 可 忽略 ,因为 共有 1052 个 数 ,重复 的 概率 为 V10 瑟 关 1055( 即 随机 碰撞 的 
概率 ,所 谓 的 “生日 攻击 ”) ,这 个 数 非常 大 。 

(4) 为 什么 不 建立 素数 的 数据 库 , 利 用 搜索 数据 库 来 尝试 分 解 因子 ? 

将 所 有 512bit 的 素数 保存 起 来 ,需要 512. 2 二 2541.5 bit, 如 果 将 10GB(2*3bit) 保 
存在 1g 重 的 存储 设备 上 ,需要 的 存储 设备 的 总 重量 为 2””X10;kg, 这 一 重量 是 不 可 能 实 
现 的 ,将 导致 系统 崩溃 ,进入 黑洞 。 

下 面 介绍 素性 检测 的 方法 。 

一 个 平凡 的 方法 就 是 检测 任何 不 大 于 Vn 的 素数 是 否 能 整除 来 确定 的 素性 。 显 然 
在 实际 中 需要 更 高 效 的 算法 。 


8.2 Fermat 测试 


Fermat 测试 的 依据 是 Fermat 定理 。 
首先 回顾 一 下 Fermat 定理 : 若 n 是 素数 , 且 a 是 任何 满足 1<a<n 一 1 的 整数 , 则 
a™!=] mod n 
因此 ,给 定 需要 判定 素性 的 数 n, 若 在 区 间 内 能 找到 一 个 整数 a 使 得 a”! 隆 1 mod n， 
则 足以 说 明宗 是 一 个 合 


算法 8.1 Fermat(n)。 


/* Femmat 素 性 测试 ,测试 n */ 
/* 输 入 :奇数 n>>3 x/ 
/¥#* 输出 :测试 结果 ,素数 或 者 合 数 */ 


{ 
随机 选择 整数 a,2<a<n- 2。 
mdn 
If IF1 Retum ("Composite") 
Retum ("Prime") 

} 


算法 8. 1 的 输出 为 “ 合 数 ”, 则 一 定 为 合 数 , 若 输出 为 数 "素数 ”, 则 可 能 为 素数 。 但 是 
存在 这 样 的 数 n, 对 所 有 满足 gcd(a.n) 的 整数 a., 均 有 a"! 寺 1 mod n, 称 这 样 的 nn 为 
Carmichael 数 , 有 研究 表明 这 种 数 较 稀少 。 

研究 表明 ,如 果 算 法 输出 为 "Prime”( 即 通过 了 素性 检测 ), 则 ” 确 为 素数 的 可 能 性 大 


于 1 一 去 。 如 果 运 行 : 次 ,算法 均 输出 "Prime”, 则 确 为 素数 的 可 能 性 大 于 1 一 去 。 
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区 Solovay-Strassen 测试 


Solovay-Strassen 测试 是 随 着 RSA 密码 体制 而 出 现 并 广泛 使 用 的 第 一 种 素性 测试 。 
它 的 原理 是 基于 Euler 准则 。 
这 里 给 出 Legendre 符号 的 推广 , 即 不 再 限定 p 为 素数 。 


定义 8.1 假定 是 一 个 奇 正 整数 , 且 n 的 素数 竹 因 子 分 解 为 n = 1 ps . 设 a 为 一 


个 整数 ,那么 雅克 比 (Jacobi) 符 号 [各] 定义 为 ， 


RE 
可 见 , 当 ? 为 素数 时 ,Jacobi 符号 就 是 Legendre 符号 。 
但 是 ,注意 Jacobi 符号 (各 等 于 1, 不 能 推出 a 是 模 的 平方 剩余 ( 相 比 Legendre 符 


n 


号 ,( 和 等 于 1, 可 以 推出 a 是 模 p 的 二 次 剩余 )。 


9975 
6278 6278 /6278\:/6278\/6278 
(wa) 3 )( 5 )( 7 )( 和 | 
二 2113T(6118 
a (sla) 
=(—1)(—1)*(—1)(—1) 
一 一 1 
也 就 是 说 ,如 果 知 道 了 ， 的 因子 分 解 , 即 可 根据 因子 分 解 的 结果 ,分 别 去 求 Legendre 
符号 ( 即 利 用 平方 乘 算法 求 宕 ) 。 
但 是 ,在 不 知道 因子 分 解 的 情况 下 ,是 否 可 以 求 出 Jacobi 符号 ?幸运 的 是 ,存在 这 样 
的 多 项 式 算 法 。 该 算法 利用 了 Jocobi 符号 的 性 质 ,特别 是 利用 了 二 次 互 反 律 。 
Jacobi 符号 的 性 质 : 


(1) 如 果 nn 是 一 个 正 奇数 . 且 mi 三 ms mod " 则 [时 ]= E). 


n 


例 8.1 计算 Jacobi 符号 | 中 。 


(2) 如 果 ， 是 一 个 正 奇数 ,那么 思 任 ] 一 [全 ] 至]. 


n n n 


特别 地 ,车 加 二 247 ,1 为 一 个 奇数 , 则 { 兰 }= [三 ] [二]。 
1， 三 土 ] mod 8 


(3) 如 果 ? 是 一 个 正 奇数 那么] _ 1 7 三 土 3 mod 8” 
=| 2 ， m 三 n 三 3 mod 4 
(0 如 果 加 入 是 正 奇数 , 则 (至 ] 一 |， 

(下) 其 他 
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容易 观察 到 ,Jocobi 符号 和 Legendre 符号 的 计算 规则 是 相似 的 。 
这 里 形象 地 解释 一 下 ,主要 是 便于 初学 者 记忆 和 理解 。 非 正式 地 说 ,把 短视 为 “分 


子 ”, 模 视 为 “分 母 ”, 则 : 
(1) 性 质 1 用 于 将 大 分 子 转化 为 小 “分 子 ”( 计 算 较 大 数 的 Jacobi 符号 转化 为 计算 较 
小 数 的 Jacobi 符号 ) 。 


(2) 性 质 2 把 计算 偶数 分子” 转化 为 计算 奇数 “分 子 ”( 偶 数 的 Jacobi 符号 转化 为 计 
算 奇数 的 Jacobi 符号 ) 。 

(3) 性 质 3 用 于 计算 [二 。 

(4) 性 质 4 最 重要 , 称 为 二 次 互 反 律 , 就 是 交换 “分 子 ” 和 "分 母 " 的 位 置 ,在 分母" 比 
“分 子 ” 大 时 使 用 。 

总 之 ,性 质 1,2,4 是 为 了 化 简 , 性 质 3 为 了 求 值 。 

使 用 的 顺序 一 般 是 性 质 2-3, 或 者 性 质 4-1-2-3。 序 列 2-3 指 先 考查 “分 子 ” 是 否 为 偶 
数 , 若 是 则 利用 性 质 2, 然 后 利用 性 质 3 求 值 。 如 “分 子 ” 不 是 偶数 , 则 使 用 序列 4-1-2-3, 即 
利用 性 质 4 使 “分 母 " 变 小 ,性 质 1 和 性 质 2 使 “分子” 变 小 后 用 性 质 3 求 值 。 

例 8.2 计算 上 例 中 的 Jacobi 符号 。 


(8) 人 3 ) (53 性 质 2-3 
人 ( 吧 )= 一 ( 问 ) 性 质 4-1 
6 (高 ) 性 质 2-3 

一 ( 吕 ) 一 ( 东 ) 性 质 4-1 

吉 )( 萝 ) (区 性 质 2-3 

(等 )= 国 性 质 4-1 

( 半 (了 5)=- 国 性 质 2-3 

本 号 )=- 局 性 质 4-1 

二 二 Legendre 符号 的 含义 


归纳 这 4 个 性 质 ,可 知 主要 的 运算 是 性 质 2 中 的 取 模 运算 ,性 质 3 中 的 2 的 宕 次 分 解 
运算 ,最 终 的 运算 为 若 为 奇数 ,a 二 2‘a1 ,其 中 ai 为 奇数 ,有 


a ) 2 fa ( 六 n mod cl ) D-DD 
n n n n a 


于 是 可 以 设计 一 个 计算 各 ] 的 算法 ,该 算法 无 须 分 解 的 因子 ,由 于 在 计算 中 使 用 
了 二 次 互 反 律 , 故 在 程序 中 使 用 递归 实现 更 加 容易 。 基 本 思想 是 JACOBI(a,z) 一 >。 
JACOBI(n mod ai ,al ) 。 
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算法 8.2 JACOBI(a.n)。 


/* Jaccbi 符号 (Iegendre 符 号 ) 的 计算 * / 
/* 输入 : 奇数 nr>>3, 整数 a,0<a<n-1。 


/* 输出 : Jeccbi 符 号 ( 马 】 俏 n 为 素数 时 ,等 同 于 Iegendre 符 号 ) 
{ 

If (a=0) Retumn(0); 

If (a=1) Retum(1); 


将 a 表示 成 Za //a 的 2 的 客 次 分 解 运 算 , 其 中 a 为 奇数 
IE (TsEvenNumber (e) s*—1; // 性 质 2, 窒 指数 e 为 偶数 , 故 窒 总 为 1 
Else 


{ 
If (++1md 8) so]1; 
If (= 土 3md 8) s< 一 -1 


} // 性 质 3 
If o=3mpd 4) AD (a=3md 4) se——s; 
nnmdas; 
If (a=1) Retum(s); 
Else 
Retum(s* JACOBI (ni ,a)); // 递 归 调 用 ,性 质 4 


} 


算法 的 时 间 复 杂 度 为 O((logsn)?)。 
容易 看 到 ,这 与 算法 4.4 是 一 样 的 。 


到 此 ,可 以 给 出 Solovay-Strassen 测试 算法 ,该 测试 中 分 别 计算 zx 一 ( 


jus 


ac 5 mod n, 如 果 二 y mod nn, 则 输出 素数 。 否 则 ,输出 合 数 。 合 数 的 结论 总 是 正确 的 


(根据 Euler 准则 ) ,但 输出 素数 时 不 一 定 是 素数 。 


算法 8.3 Solovay-Strassen(n)。 


/* 测试 n 是 否 为 素数 * / 

/* 输 入 : 奇数 nx / 

/x* 输 出:“Prime" 或 者 "Camposite” * / 
{ 

随机 选取 整数 a, 使 得 aE [1,n- 了 ; 
Xe JRCOBT (a,n); // 调 用 子 函 数 
If (x=0) Retum ("Conposite"); 
ya® 3 mod ny 

If (x=Yy md n) Return ("Prime"); 

了 se Retum("Conposite"); 

} 
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8.4 Miller-Rabin 测试 * 


实际 中 ,通常 使 用 的 概率 素性 测试 方法 是 Miller-Rabin 测试 ,也 称 为 强 伪 素性 测试 。 
该 测试 基于 以 下 思想 : 

回顾 Fermat 测试 ,需要 计算 a”! mod n。 若 结果 为 1 则 输出 “素数 ”, 不 为 1 则 输出 
“ 合 数 ”。 一 个 自然 的 想法 是 能 不 能 少 计算 一 点 。 

下 面 分 析 这 种 可 能 性 : 由 于 nn 是 奇数 , 故 n 一 1 为 偶数 ,不 妨 设 为 n 一 1 二 21, 于 是 a”! 
三 (a')? ,考查 如 果 a! 二 土 1 mod n, 就 直接 输出 “素数 ”, 没 有 必要 再 继续 计算 了 (因为 平方 
后 会 得 到 a"! 二 1 mod n)。 这 样 就 节省 了 计算 的 时 间 。 

进一步 而 言 ,如 果 n 一 1==244 (4 宇 0) , 则 

qa!=(a)* =(((a))).)? 


次 
同 前 面 的 分 析 , 如 果 a' 二 士 1 mod n, 则 必然 有 a”! 二 1 mod n, 直 接 输出 “素数 ”, 不 用 
继续 计算 。 否 则 ,如 果 在 一 1 次 平方 的 过 程 中 ,有 一 个 为 一 1, 则 最 终 也 有 o 一 = 王 1 mod 
7 ,输出 “素数 ”, 依 次 计算 wo) ,Co) 生 ! ,那么 最 终 使 得 a"”!= 二 1 mod 2 ,输出 “素数 ” 
的 计算 序列 要 么 是 : 
at, a)’ sna) 
主 15。 款 ” 合 1 
或 者 
《Ca02 (0 a) a) ,ee a) 
关 土 1, 关 土 1 ,… 关 土 1]， 一 1， 1， 0 1 
即 在 第 i(i 二 0,1,…,k 一 1) 次 平方 后 ,等 于 一 1。 除 此 以 外 , 均 输 出 “ 合 数 ”。 
有 读者 会 疑问 如 果 第 i 次 平方 后 等 于 1, 不 也 可 以 使 得 最 后 有 a”! 二 1 mod n 吗 ? 是 
的 ,但 是 这 情况 下 ,1 mod n 的 平方 根 不 是 士 1, 说 明 不 是 素数 。 因 此 ,只 有 两 种 情况 。 
要 么 开始 为 土 1 ,要 么 在 第 i(i 二 0,1,…,k 一 1) 次 平方 计算 的 过 程 中 出 现 一 1 即 可 。 
根据 上 面 的 分 析 , 可 以 得 到 算法 如 下 : 


算法 8.4 Miller-Rabin(n) 


/* Miller- Rabin 素 性 测试 * / 
/* 输 入 奇数 n=3x* / 
/* 输出 对 n 素 性 的 判断 * / 
{把 m1 写 成 m 二 zt, 其 中 上 是 一 个 奇数 
随机 选取 整数 a, 使 得 Ia<n-1 

ba mdn; 

If b=1 md n Return ("Prime"); 

For i=0 tok-1 

1 

If b=- 1modn Retum ("Prime"); 
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Else 

bp mdn; 

’» 

Retum ("Composite"); 
} 


可 以 证 明 Miller-Rabin 算法 的 错误 概率 , 即 输出 “素数 ”, 但 其 实 是 合 数 的 概率 为 1/4， 
这 里 不 再 给 出 证 明 。 

比较 Fermat 测试 ,Solovay-Strassen 测试 和 Miller-Rabin 测试 三 者 的 精确 度 , 有 如 
图 8.1 所 示 的 关系 。 


{nlFermat(n)=“Prime” 但 n 


实际 上 为 台数 } 


{nlSolovay-Strassen(n)="“Prime™ 


但 实际 上 n 为 合 数 } 


{nlMiller-Rabin(n)="Prime” 
但 实际 上 n 为 台数 } 


图 8.1 三 种 测试 精确 度 的 比较 


可 见 Miller-Rabin 精确 度 最 高 ,错误 概率 最 小 。 同 时 计算 上 也 比 Solovay-Strassen 
测试 简单 (Solovay-Strassen 测试 需要 计算 Jacobi 符号 ) 。 


思 考 题 
[1] 实现 Miller-Rabin 素数 检测 算法 ,测试 并 找到 一 个 对 你 而 言 最 大 的 梅森 素数 。 


[2] 编写 Fermat 测试 、Solovay-Strassen 测试 .Miller-Rabin 测试 ,比较 它们 的 效率 。 
[3] 编写 程序 产生 300 十 进 制 位 左右 的 大 素数 。 
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9 音 
生 ? 。 椭圆 曙 线 群 


本 章 介绍 在 椭圆 曲线 上 构造 的 群 。 并 基于 这 种 群 构造 DH 密 钥 协 商 协议 ,ElGamal 
加 密 。 

本 章 的 重点 是 椭圆 曲线 群 的 构造 。 难 点 是 EIGamal 椭圆 曲线 加 密 方 法 和 椭圆 曲线 
快速 标量 点 乘 算法 。 


“9.1 椭圆 曲线 群 的 概念 


1 椭圆 曲线 的 定义 
所 谓 椭 圆 曲 线 是 指 由 韦 尔 斯 特 拉 (Weierstrass) 方 程 : 
E: y+aryt+by = zx 二 cr’+dr++e 
所 确定 的 平面 ,其 中 ,cd 和 e 属于 下 ,F 是 一 个 域 ,可 以 是 有 理 数 域 .复数 域 或 有 限 
域 ,密码 学 中 通常 采用 有 限 域 。 椭 圆 曲 线 是 其 上 所 有 点 (x,y) 的 集合 ,外 加 一 个 无 限 远 点 
O( 该 点 不 在 椭圆 曲线 玉 上 , 记 为 0, 称 此 点 为 无 限 远 点 )。 

椭圆 曲线 上 可 以 提供 无 数 的 有 限 Abel 群 ,具有 丰富 的 群 结构 ,不 同 的 参数 ,得 到 不 同 
的 曲线 ,形成 不 同 的 群 。 而 且 , 易 于 计算 ,从 而 可 用 来 构造 密码 算法 。 在 密码 学 中 , 常 采用 
下 列 形式 的 椭圆 曲线 : 


E:y =zx’++ar+b 

并 要 求 4a: 十 275? 关 0,E: y= 二 zx? 十 az 十 b 可 以 构成 群 。 
这 个 要 求 的 原因 是 : A=(a/3)3 十 (0/2)2: 一 (4a3 十 2702)/108 是 方程 E: y= 二 x 十 ax 
十 的 判别 式 , 当 4a? 十 275r = 二 0, 则 方程 有 重 根 , 设 为 ze, 则 点 Q 二 (xo,0) 是 方程 y= 


Ek a 3 
如 十 az 十 b 的 重 根 。 令 F(x,y) 二 yy 一 x 一 ar 一 b, 则 本 0, 所 以 虹 EE 
ar 9y dz 9 并 


守 在 Qs 点 无 定义 , 即 遇 线 E: yy 二 十 ar 十 b 在 Q。 点 的 切线 无 定义 ,因此 在 计算 Qu 点 的 


标量 乘法 运算 时 无 定义 。 
2 有 限 域 GD 上 的 椭圆 曲线 
密码 学 中 普遍 采用 的 是 有 限 域 上 的 椭圆 曲线 ,就 是 指 椭圆 曲线 方程 定义 式 中 ,所 有 的 
系数 都 是 某 一 有 限 域 中 的 元 素 。 这 种 有 限 域 可 以 是 GF(g) ,9 通常 为 一 个 素数 过 ,如 最 常 
见 的 情形 是 g==p,p 为 一 个 大 于 2” 的 素数 , 或 者 g 二 2” (m160)。( 本 章 只 介绍 第 一 种 
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情况 ,第 二 种 情况 可 以 类 推进 行 定义 。) 

考虑 有 限 域 GF(p) 上 的 椭圆 曲线 。 常 见 表达 式 为 y: 三 zx 十 ar 十 b mod p, 其 中 pp 为 
一 个 大 素数 ,a,p,z,y 均 在 有 限 域 GF(p) 中 . 即 从 (0,1,…,p 一 1}y 上 取 值 , 且 满 足 : 4a? 十 
27b* mod p 关 0, 这 类 椭圆 曲线 通常 用 EE, (a,5) 表 示 , 该 椭圆 曲线 只 有 有 限 个 点 数 N( 包 括 
无 穷 远 点 0) ,N 越 大 ,安全 性 越 高 ( 群 中 元 素 越 多 , 越 能 对 抗 穷 举 搜索 攻击 ) 。 于 是 ,一 个 
很 自然 的 问题 就 是 , N 是 否 足 够 大 。 关 于 N 的 数量 有 一 个 估计 , 即 Hasse 定理 。 

定理 9.1 Hasse 定理 。 如 果 玉 是 有 限 域 GF(p) 上 的 椭圆 曲线 ,N 是 已 上 的 点 (zy) 
(其 中 zx,y€E2,) 的 个 数 , 则 |N 一 (p 十 D2 Vp。 即 ,p 十 1 一 2 Vp 寺 INI<p+1+2 Vp。 

例如 ,车 p= 二 5,Z; 上 的 椭圆 曲线 y= 二 x 十 ar 十 5 上 的 点 数 在 2~~10 之 间 。 


9.2 ”椭圆 曲线 群 的 构造 


1 椭圆 曲线 群 的 构造 

一 般 来 说 ,E,(a,0) 由 以 下 方式 产生 : 

(1) 对 每 一 x (0 志 x 二 p,p 为 整数 ) ,计算 1=zx? 十 ar 十 b mod p。 

(2) 判 定 1 在 模 p 下 是 否 为 二 次 剩余 (利用 Euler 准则 ) ,如 果 不 是 , 则 曲线 上 没有 与 
这 一 工 相对 应 的 点 。 如 果 有 , 则 求 出 两 个 平方 根 (t 王 0 时 只 有 一 个 平方 根 ) 。 

例 9.1 z=23,a 一 0 一 1 ,方程 为 风 一 z3 十 z 十 1,4a3 十 2702 一 8 天 0, 图 形 是 连续 曲线 ， 
如 图 9. 1 左 图 所 示 。z/=11,4 一 一 1,0 一 0, 方 程 为 风 一 如 一 zyd4ds 十 2702 一 一 4 天 0, 如 
图 9. 1 右 图 所 示 。 


y=x + x+l | =x3—x 
图 9.1 椭圆 曲线 y= 二 z? 十 xz 十 1 和 y= 二 zx? 一 zx 
主要 对 第 一 象限 的 整数 点 感 兴趣 ,用 E,(a.05) 表 示 该 方程 定义 的 点 集 {(z,)10 二 z+ 
p;0 声 y 二 p,x,yEZ}UO。 表 9.1 给 出 了 点 集 Ezs (1,1)。 


图 9. 2 给 出 了 这 些 点 的 位 置 。 
思考 9.1: 给 出 点 集 Eu (一 1,0)。 见 表 9. 2。 
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表 9.1 点 集 Ess(1.1) 


(0,1) (1,7) (3,10) (4,0) (5,4) (6,4) (7,11) 

(0,22) (1,16) (3,13) (5,19) (6,19) (7,12) 

(9,7) (11,3) (12,4) (13,7) (17,3) (18,3) (19,5) 

(9,16) (11,20) (12,19) (13,16) (17,20) (18,20) (19,18) 
yy 


wr 


HH 


图 9.2 点 集 Es(1,1) 


表 9.2 点 集 Bu (一 1,0) 


(1,0) (4.4) (6,1) (8,3) (9.4) (10,1) 

(0,0) (4,7) (6,10) (8.8) (9,7) (10,.10) 

2 椭圆 曲线 在 GH(AD 下 的 Abe 群 

定理 9.2 椭圆 曲线 上 的 点 集合 E, (a.5) 对 于 如 下 定义 的 加 法 规则 构成 一 个 
Abel 群 。 

椭圆 曲线 上 的 加 法 运算 定义 如 下 : 如 果 其 上 的 3 个 点 位 于 同一 直线 上 ,那么 它们 的 
和 为 O。 


从 图 形 上 直观 地 进行 定义 和 解释 如 下 ( 见 图 9. 3) : 

(1) O 是 加 法 单位 元 , 即 对 于 椭圆 曲线 上 任 一 点 已 .其 与 关于 工 轴 的 对 称 点 的 连 线 与 
无 穷 远 点 O 共 线 。P 十 (一 P)==0, 有 P 十 0=P; 

(2) 一 条 与 X 轴 垂 直 的 线 和 曲线 相交 于 两 个 点 ,这 两 个 点 的 z+ 坐标 相同 , 即 Pi 二 (zx， 
y) 和 P,(x, 一 y)。P1Ps 连 线 延 长 到 无 穷 远 时 ,与 曲线 相交 于 无 穷 远 点 0, 因 此 3 点 Pl， 
Pz,O 共 线 , 所 以 Pi 十 Ps 十 O=0,Pi 十 P= 二 0, 即 P， P1, 故 椭圆 曲线 的 性 质 决定 P 与 
其 逆 元 成 对 在 椭圆 曲线 上 。 
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(3) 横 坐 标 不 同 的 两 个 点 已 和 Q 相 加 时 ,P 十 Q 的 定义 如 下 : 先 在 它们 之 间 画 一 条 
直线 并 求 直 线 与 曲线 的 第 三 个 交点 及 ,由 P 十 Q 十 R==O, 得 到 P 十 Q= 一 R; 

(4) 两 个 相同 点 P 相 加 时 ,通过 该 点 画 一 条 切线 ,切线 与 曲线 交 于 另 一 点 R, 则 P 十 
P 十 R==2P 十 R==O, 于 是 2P 二 一 R。 类 似 可 以 定义 3Q=Q+Q+Q 等 。 


图 9.3 P 十 Q=R 的 几何 意义 ( 左 图 ) 和 2P 的 几何 意义 ( 右 图 ) 


可 以 证 明 , 如 上 方法 定义 的 加 法 运算 可 以 得 到 一 个 Abel 群 。 即 可 以 得 到 如 下 加 法 
规则 : 


(1) O+O=0; 
(2) 对 所 有 的 点 P(x,y)EE,(a,b), 有 P 二 0O=O0 二 P=P; 
(3) 对 所 有 的 点 P(x,y)EE,(a.b), 有 PP 二 (一 P)= 二 0; 即 点 PP 的 逆 为 一 P= 
(zs—y)s 
(4) 令 P=(zi,y)EE,(a.b), 和 Q=(zr2,y) EE,(a.0), 有 8 P 一 Q, 则 : 
P+Q=R= (zx;,y) EE,(a,b), 
其 中 : zs 二 4? 一 x1 一 Tz sy3 三 A(T 一 TX3) 一 y1 


22 PAQ 


Ty™— Ey 
3z? 二 a ., 
2y1 人 
(5) 对 于 所 有 的 点 P 和 Q ,满足 加 法 交换 律 , 即 P+Q=Q+P; 
(6) 对 于 所 有 的 点 P.Q 和 尺 ,满足 加 法 结合 律 , 即 (P 十 Q) 十 R=P 十 (Q 十 R)。 


由 规则 (4) 知 ,加 法 有 具有 封闭 性 。 规 则 (2) 说 明 存在 单位 元 O。 规 则 (3) 说 明 任意 元 素 
PP 均 存 在 逆 元 一 P。 再 加 上 规则 (5) 加 法 满足 交换 律 和 (6) 加 法 满足 结合 律 , 故 E, (a,0) 对 
于 椭圆 曲线 加 法 构成 一 个 Abel 群 。 规 则 (4) 的 计算 在 GF(p) 下 进行 , 即 对 p 取 模 。 

例 9.2 椭圆 曲线 Es(1,1), 设 P=(3,10),Q 二 (9,7)。 求 P 十 Q,2P。 
A=(7—10)/(9—3)= 一 3/6 三 11 mod 23 
zxs=11—3—9=109 二 17 mod 23 
w=11(3—17)=10 164 夺 20 mod 23 

于 是 ,P 十 Q 二 (17,20) ,可见 其 仍 为 Es(1,1) 中 的 点 。 

下 面 求 2P。 
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A=(3: 3 二 1)/(2 .10)=5/20=1/4 二 6 mod 23 
xs=6’—3—3 二 30 三 7 mod 23 
y=6(3—7)—10=—34 三 12 mod 23 
所 以 2P=(7,12)。 
乘法 规则 


(1) 如 果 A 为 整数 , 则 对 所 有 的 点 PE Eu(a,b) 而 言 , 有 
AP 一 P 十 P 十 … 十 P,A 个 已 相 加 。 
(2) 如 果 s 和 + 为 整数 , 则 对 所 有 的 点 PEE, (a,b) 而 言 ,有 
(s+D)P=sP+tP,s(tP)= (st)P 


93 ”椭圆 曲线 密码 


931 椭圆 曲线 上 的 DH 密 钥 协商 协议 


一 个 直观 的 类 比 是 : 定义 在 椭圆 曲线 群 (E, 十 ) 上 的 加 法 操作 对 应 于 Z; 上 的 模 p 乘 
法 操作 ,多 次 加 法 操作 对 应 于 模 p 的 指数 运算 。 


1. 椭圆 曲线 离散 对 数 问 题 (ECDLP) 

设 p 某 个 大 素数 ,E 是 GF(p) 上 的 椭圆 曲线 , 设 G 是 E 的 一 个 循环 子 群 ,P 是 G 的 
一 个 生成 元 ,QEG。 已 知已 和 Q. 求 满足 zaP=Q 的 唯一 整数 n,0 三 n 三 ord(P) 一 1, 称 为 
椭圆 曲线 离散 对 数 问题 。 

ECDLP 其 实 就 是 DLP 的 椭圆 曲线 版 本 ,即将 原来 的 Z; 和 群 蔡 换 成 椭圆 曲线 上 
Abel 群 。 


2 椭圆 曲线 Diffie Halman 问题 (ECDHP) 
同 ECDLP 一 样 ,ECDHP 问题 就 是 在 DHP 的 椭圆 曲线 版 本 。 
于 是 可 以 得 到 类 似 于 5. 3 节 介绍 的 DH 密 钥 交换 协议 的 椭圆 曲 线 版 本 。 描 述 如 下 : 

(1) 假设 Alice 与 Bob 要 在 他 们 之 间 建 立 一 个 共享 的 密 钥 。Alice 和 Bob 首先 选 定 
公共 参数 : 取 某 个 大 素数 p,E 是 GF(p) 上 的 椭圆 曲线 ,E, 是 相应 的 Abel 群 ,G 是 EE, 中 
有 具有 和 较 大 素数 阶 n 的 点 。 

(2) Alice 秘密 选 定 一 个 整数 4:2 二 a 二 n 一 1, 并 计算 A=aG。 发 送 A 给 Bob。 

(3) Bob 秘密 选 定 一 个 整数 5;2 过 bn 一 1 ,并 计算 B= 二 b6G。 发 送 B 给 Alice。 

(4) Alice 计算 k=aB。 

(5) Bob 计算 4 一 24。 

容易 看 到 ,Alice 和 Bob 计算 得 到 的 k 是 相同 的 : 

aB=a(bG)= (ab)G=b(aG)=6bA 
显然 ,椭圆 曲线 上 Diffie-Hellman 密 钥 交换 协议 的 安全 性 基于 ECDLP 的 困难 性 。 
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932 日 Gamal 加 密 的 椭圆 曲线 版 本 


一 个 直接 构造 椭圆 曲线 上 的 公 钥 密码 体制 的 方法 是 使 用 某 种 编码 的 方法 ,将 明文 纺 
码 为 椭圆 曲线 上 的 一 个 点 ,然后 利用 ElGamal 的 思路 ,利用 DHP 的 困难 性 ,构造 一 个 共 
享 密 钥 来 加 密 明 文 ( 某 个 椭圆 曲线 上 的 点 )。 

类 比 ElGamal 密码 体制 (运算 从 模 乘 变 为 椭圆 曲线 群 的 加 ) ,容易 给 出 一 种 密码 体制 
vi 


(1) 密 钥 生成 : 设 已 是 有 限 域 GF(p) 上 的 椭圆 曲线 ,G 是 EE, 中 具有 较 大 素数 阶 n 
的 一 个 点 。 随 机 选择 一 个 整数 4d ,使 得 2 二 4d 三 n 一 1, 计 算 P=dG。d 是 私 钥 ,(P,G， 
FE,n) 是 公 钥 。 
(2) 加 密 算法 : 将 明文 编码 为 EE, 中 的 元 素 P, ( 即 椭圆 有 曲线 上 的 一 个 点 ) ,再 选取 随 
机 数 :1 三 rn 一 1, 计 算 
=r* G=(z1,y) 
cs=P,+r* P=(zxs,y;) 
(3) 解密 算法 : 利用 私 钥 d, 计 算出 P, 二 cs 一 4d， ci。 对 P 解码 得 到 明文 m。 


例 9.3 取 p==751,E,( 一 1,188), 即 椭圆 曲线 为 y= 二 xz? 一 x+ 十 188,Er( 一 1,188) 的 
一 个 生成 元 是 G=(0,376) ,A 的 公 钥 为 P=(201,5)。 假 定 B 已 将 要 发 送 给 A 的 消息 幅 
入 到 椭圆 曲线 上 , 即 点 P= 二 (562,201),B 选取 随机 数 - 王 386, 由 7rG=386(0,376) 一 
(676,558) ,PP 十 rP 二 (562,201) 十 386(201,5) 二 (385,328)。 得 到 的 密 文 为 {(676,558)， 
(385,328)}。 


933 椭圆 曲线 快速 标量 点 乘 算 法 


从 密码 学 应 用 可 以 看 到 ,在 椭圆 曲线 群 中 最 重要 的 运算 是 标量 乘 , 即 对 任意 正 整数 mm 
及 EE,(a,0b) 中 非 零 元 P, 计 算 m， P。 计 算 标量 乘 的 方法 有 很 多 种 ,最 常用 的 方法 是 倍加 
法 ,即将 乘 子 m 表示 成 系数 为 0 或 1 的 2 的 多 项 式 ,然后 反复 进行 “ 售 一 加 ”及 不 同 点 加 
的 运算 。 
例 9.4 Ex( 一 1,5) 中 P=(7,1), 求 mP。 
mP= 15(7,1) = 2(2(2(7,1) 十 (7,1)) 十 (7,1)) 十 (7,1) 
一 2(2(11,13) 十 (7,1)) 十 (7,1)) 十 (7,1) 
一 2(2(8,13) 十 (7,1)) 十 (7,1) 
一 2((14,7) 十 (7,1)) 十 (7,1) 
= 2(12,2) 二 (7,1) 
二 (8,4) 十 (7,1) 
= KL) 
计算 15。(7,1) 需 要 进行 3 次 * 倍 一 加 ”和 3 次 加 运算 。 如 果 采 用 符合 二 元 法 (符合 
二 元 法 是 指 : 将 乘 子 表示 成 系数 为 0、1 或 一 1 的 2 的 多 项 式 , 然 后 再 反复 进行 “ 倍 一 加 ”及 
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和 本国 曲线 群 。 mw 
不 同 点 加 的 一 种 标量 乘 方法 ) , 则 只 需要 4 次 * 倍 一 加 ”与 1 次 加 , 即 ; 
mP= 15(7,1) 一 (2 一 1)(7,1) 
= 2(2(2(2(7,1)))) 一 (7,1)) 
= 202001L 13DY — 71) 
= 2(2(10,14)) 一 (7,1) 
8) — 771) 
= (7,16) 一 (7,1) 
一 (7,16) 十 (7,16) 
= (11,4) 
思考 9.2: 这 一 算法 和 RSA 中 用 到 的 ( 见 3. 3. 3 节 ) 计 算 模 寡 的 “平方 一 乘 ”( 模 重复 
平方 法 ) 方 法 是 否 构成 类 比 。 
其 实 , 类 比 关系 十 分 明显 。 在 模 寡 运算 中 ,… 乘 ”为 基本 运算 ,椭圆 曲线 标量 乘 中 “加 ” 
为 基本 运算 。“ 平 方 ”为 两 次 * 乘 ”,“ 倍 ”为 两 次 * 加 ”。 因 此 构成 非常 明显 的 类 比 。 


思 考 题 


[1] 编写 程序 实现 椭圆 曲线 快速 标量 点 乘 算法 。 
[2] 编写 程序 实现 椭圆 曲线 版 本 的 EIGamal 加 密 。 
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生 1 于。 大 整数 分 解 算法 


对 RSA 最 直接 的 攻击 就 是 因子 分 解 。 如 果 能 够 分 解 n 得 到 p 和 g, 便 可 以 得 到 
gg 一 (b 一 1)(q 一 1)。 根 据 公 钥 e 求 得 私 钥 &=e : mod %(z) , 便 完全 攻破 。 因 子 分 解 
的 平凡 办 法 就 是 试 除法 ,其 基本 思想 是 尝试 小 于 Vn 的 所 有 素数 去 除 n, 直 到 找到 一 个 因 
子 , 这 种 方法 当 nn 较 大 时 ,在 现实 中 是 不 可 行 的 。 

本 章 的 重点 是 随机 平方 法 ,难点 是 Pollard p 一 1 分 解 算法 。 


To Pollard Rho 方法 


Rho 方法 由 Pollard 于 1975 年 提出 ,用 于 寻找 小 因子 。 基 于 一 种 在 有 限 集合 中 寻找 
碰撞 的 思想 ,其 基本 原理 是 : 设 /:s 习 s 是 一 个 随机 函数 ,S 是 个 元 素 的 有 限 集 。 设 zx。 
是 S 中 的 一 个 随机 元 素 , 考 查 序列 zo ,zi ,其 中 zin1 二 f(zxi),i 宇 0。 由 于 S 是 有 限 集 , 则 
该 序列 最 终 必然 出 现 循环 。 

例 10.1 函 数 f; (11,2.…,13} 一 (1,.2.…,13}。 定 义 如 下 ， 

扰 直 二 三 天 抢 三 于 风 纱 三 到 诛 儿 三 6 成 玖 二 3 二 95 丰 人 三 3 
(8 =11:7(90) = (10)=2, (01D= 702)=47(3)=7 
容易 画 出 函数 图 如 图 10. 1 所 示 。 


图 10.1 随机 映射 的 函数 图 


很 明显 一 个 问题 是 : 大 概 多 少 步 之 后 出 现 循环 。 即 出 现 碰撞 需要 的 步 数 。 

设 走 到 循环 开始 的 位 置 需要 步 (也 称 为 尾 长 度 ) ,循环 的 长 度 为 v 步 ( 称 为 圈 长 ), 因 
此 ,发 现 碰 撞 需 要 的 步 数 为 u 十 v( 也 称 为 op 长度,o 字母 的 形状 就 是 由 尾 和 圈 组 成 的 ,p 在 
希腊 字母 中 叫做 Rho)。 关 于 随机 映射 或 者 随机 图 的 研究 表明 ,u 的 期 望 是 Vrn/8, 圈 长 
度 的 期 望 也 是 Vrn/8. 于 是 p 长 度 为 Vrn/2。Rho 方法 在 解决 离散 对 数 问题 中 也 有 应 用 。 

下 面 给 出 Pollard 的 Rho 因子 分 解 算法 。 


me 第 10 章 大 整数 分 解 算法 mm 


算法 10.1 Rho(n)。 


/x Pollard 的 rho 因子 分 解 算法 */ 
/* 输 入 : 合 数 nn 不 为 某 个 素数 的 宕 。 */ 
/# 输出 : n 的 非 平 凡 因 子 a */ 
‘ 

i 4 

For 1 To ... 

{ 

an az+lmodn7 

bp+1mdnb H+1 mdn; 

gd(a-b,n); 

If Kn, Retum(d); 

If d=n, Retum("Failure"); 


这 里 的 算法 在 平凡 的 rho 方 法 的 基础 上 作 了 一 点 改进 , 即 计算 (zi ,xzi) (a 计算 一 次 ， 
b 计 算 两 次 ) ,该 方法 称 为 Floyd 循环 查找 算法 ,可 节省 存储 的 空间 。 
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这 种 方法 的 思想 是 : 设 p 是 要 分 解 的 数 n 的 一 个 素数 因子 ,p 一 1 的 因子 分 解 中 的 素 
数 皮 次 最 大 为 gq,glp 一 1, 如 果 g 三 B, 那 么 必 有 (p 一 1)|1B!1。 例如 ,假设 p 一 1==5280= 
2，3。5。11, 素 数 的 寡 次 最 大 为 2 一 32, 可 选择 B 二 32。 

由 Fermat 定理 ,2*"! 圭 1 mod p, 于 是 25 三 1 mod p。 即 p1(23: 一 1), 又 因为 pln, 所 
以 plgcd(n,23! 一 1)。 于 是 可 以 得 到 一 个 n 的 非 平 凡 因 子 gcd(n,23! 一 1)。 

下 面 给 出 Pollard p 一 1 算法 ,算法 中 的 B 是 一 个 猜测 值 , 即 对 p 一 1 中 最 大 素数 寡 的 
猜测 。 


算法 10.2 PollardFactoring(n,B)。 


/* 分 解 n 的 因子 * / 
/* 输入: 要 分 解 的 合 数 n, 对 p-1 的 因子 分 解 中 的 素数 突 的 最 大 值 的 猜测 Bx / 
{ 

ae 27 

For j*-2ToB 

{ a-amdn; 

} 

dgcd(a- Ln); 

If I< dn Retum(d); 
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Return ("Failure"); 


另外 一 种 方法 也 可 以 得 到 p 一 1 的 倍数 ,可 能 会 缩小 计算 量 ,这 里 先 引 入 光滑 
(smooth) 的 概念 ,简单 地 说 ,就 是 素数 因子 的 上 界 。 

定义 10.1 设 B 是 一 个 正 整 数 。 当 nn 的 所 有 素数 因子 不 大 于 B 时 , 称 整数 为 B 
光滑 的 (B Smooth)。 

例如 ,假设 2 一 1=5280 一 25。3。5。11, 则 p 一 1 是 11 光滑 的 (B=11)。 

下 面 考虑 如 何 算出 一 个 数 Q, 满 足 (p 一 1)1Q 且 计算 量 较 小 。 一 个 自然 的 想法 是 假设 
p 一 1 是 B 光滑 的 ,那么 计算 Q= ,<m , 即 小 于 B 的 素数 的 乘积 ,但 是 ,该 数 可 能 不 满足 
(Pp 一 1)1Q, 因 为 没有 考虑 p 一 1 中 素 因 子 可 能 有 寡 次 。 于 是 ,要 适当 放大 Q。 考 查 某 个 


1 n 
/一 1 的 因子 g, 其 最 大 的 备 次 为 1,g<<n, 于 是 / 寺 型 


Q 六 ITT, 
这 样 ,必然 有 (p 一 1)1Q, 于 是 p12 一 1) ,gcd(298 一 1,n) 即 为 n 的 非 平凡 因子 。 下 面 
给 出 算法 。 


| 这 样 , 令 


算法 10.3 PollardFactoring(n,B)。 


/* 分 解 n 的 因子 */ 

/* 输入 : 要 分 解 的 合 数 n, 对 p-1 的 素 因 子 的 最 大 值 的 猜测 Bx / 
am 2,qe 27 
While (q<B and qE Prime) 


“| 轩 


aa mdn; 

} 

dgod(a- L,n) 

If 1<dn Retum(d); 
Else 

Retum ("Failure"); 


“10.3 ”随机 平方 法 


该 方法 的 基本 思想 是 : 假如 x 和 y 是 整数 ,上 且 x 三 y* mod n, 但 x 了 关 士 y mod n。 于 
是 nn 整除 xz? 一 y= 二 (zx 十 y) (x 一 y), 但 是 nn 不 能 整除 (zx 一 y) 或 者 (zt 十 y)。 因 此 gcd(Cz 十 
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yn) (或 者 说 gcd(x 一 y,n)) 一 定 是 nn 的 一 个 平凡 因子 。 例 如 , 10 二 32? mod 77, 则 
gcd(10 十 32,77) 王 7 是 77 的 一 个 因子 。 
通常 的 策略 是 随机 找 几 个 数 ,不妨 称 为 = ,这 些 数 的 平方 模 的 素数 因子 都 在 一 
合 内 ,这 个 集合 称 为 因子 基 B。 如 果 把 这 些 x? 相 乘 ,发现 其 相同 素数 因子 的 寡 次 为 偶数 
次 , 即 意味 着 是 一 个 数 1 的 平方 。 于 是 找到 了 两 个 数 (1[ (x;))?=#。 
例 10.2 假定 n=15770708441, 令 B==2,3,5,7,11,13。 设 法 找到 几 个 = ,使 得 其 平 
方 后 取 模 的 因子 在 这 个 集合 中 。 考 虑 如 下 : 
局 一 8340935156,z* 一 12044942944,zs 一 2773700011 
寻 一 83409351562 一 3。7 mod 7 
好 一 120449429442 一 2。7。13 modn 
妇 一 27737000112 一 2。3。13 mod 7 
把 它们 相 乘 ,得 到 (= ，z:“。， z3)? 二 (2。，3。，7。，13)* mod n。 即 9503435785? 一 5462 
mod n。 然 后 计算 gcd(9503435785 十 546 ,zx) 得 到 的 素数 因子 。 
但 是 ,问题 是 如 何 得 到 这 些 x; ,使 得 它们 的 素数 因子 能 在 集合 B 中 。 通 常 集合 B 中 
的 素数 因子 都 不 大 ,这 意味 着 x? 模 n 比较 小 , 即 zx? 和 的 倍数 比较 接近 。 于 是 一 个 自然 
的 想法 是 , 令 zx;==j 十 [Vkn 1,j= 二 0,1,2,…, 尼 二 1,2,…。 这 些 数 平方 后 一 般 是 模 后 大 于 
0 的 。 如 果 取 x; 三 Rn ? 则 通常 平方 模 n 会 比 n 小 一 点 。 因 此 ,也 把 一 1 也 加 入 到 B 集 
合 中 。 
例 10.3 假设 n=1829, 取 B= 一 1,2,3,5,7,11,13。 计 算 Vn = 二 42. 8, Van 二 
V3n 二 74.1, V4n 二 85.5。 假 定 取 z= 二 42,43,60,61,74,75,85,86。 可 得 到 x? modn 在 B 
上 的 分 解 。 


2 二 85? 寺 一 91 二 (一 1)。7。13 
z=86: 三 80 三 24。5 
如 果 将 这 些 分 解 结果 用 B 中 元 素 的 奇数 或 者 偶 次 寡 的 向 量 表 示 , 则 更 加 清晰 。 
例如 ， 
z=(1,0,0,1,0,0,1),z=(0,0,0,1,0,0,0),zs=(0,0,0,0,1,0,0) 
z=(1,0,0,0,0,1,0) ,zs=(1,0,0,0,1,0,1),z6=(0,0,0,1,0,0,0) 
容易 观察 到 ,z!。 z。。， zs， zs 能够 使 B 中 元 素 出 现 的 军 次 为 偶数 , 即 找到 一 个 平方 数 
(42。43。61. 85)? 寺 (2。，3。5。7。13)’ 寺 901? mod 1829。 于 是 gcd(1459 十 901,1829) 
三 59 得 到 一 个 非 平 凡 因子 59。 
前 面 介绍 了 3 种 先驱 算法 。 实 际 中 大 整数 因子 分 解 最 有 效 的 算法 是 : Lenstra 椭圆 
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曲线 因子 分 解法 (Pollard p 一 1 方法 用 于 随机 椭圆 曲线 群 )、Pomerance 的 二 次 得 法 
(Quadratic Sieve) ,Pollard 数 域 筛 法 (Number Field Sieve) (两 者 都 来 源 于 随机 平方 法 )。 
最 近 发 展 起 来 的 是 数 域 筛 法 ,其 渐进 时 间 比 其 他 两 个 算法 都 要 短 。 


编写 程序 实现 3 种 大 数 分 解 算法 。 
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1L 普 
丰 看 芝 高 散 对 数 算法 


上 一 章 介绍 了 公 钥 密码 学 中 一 个 重要 的 困难 问题 一 一 大 数 分 解 问题 的 算法 ,本 章 介 
绍 公 钥 密码 学 中 另 一 个 困难 问题 一 一 离散 对 数 的 算法 。 
本 章 的 重点 是 指数 演算 法 ,难点 是 Pohlig-Hellman 算法 。 
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先 来 看 穷 举 搜索 法 。 这 是 一 种 平凡 方法 ,对 任意 群 有 效 , 即 计算 wo ,al ,a?,…, 直 到 得 
到 B 为 止 。 该 方法 要 O(n) 次 乘法 ,这 里 是 a 的 阶 , 且 nn 较 大 时 ,该 算法 的 效率 很 低 。 

小 步 大 步 算法 (Baby-Step Giant Step) 

该 算法 由 Shank 提出 , 故 也 叫做 Shank 算法 。 该 算法 是 通用 算法 ,对 任意 群 有 效 。 
假定 需要 求 的 是 在 群 G 中 的 + 二 log。B。 

如 果 令 mw 二 [Yn 1,n 为 群 的 阶 , 则 x 表示 为 x 二 mj 十 i, (0 过 i,j 壹 m 一 1) ,因此 B=” = 
aoa"ia’' ,BB Bao) 一 om 。 

思考 11.1 如 何 让 等 式 Bl(a ') 二 a 成 立 。 

等 式 中 除了 i,j 未 知 以 外 ,其 他 量 均 已 知 ,所 以 目标 是 找到 i,j。 由 于 0<i,j 志 mm 一 1， 
且 计 算 a 的 计算 量 较 小 ,于 是 可 以 先 计算 出 mw 个 值 : 

Var (oe) a) a) 

不 妨 称 这 些 值 为 一 个 查询 表 , 用 二 表示 。 然 后 去 找 i, 办 法 是 计算 B,Ba ,Ba ?，…， 
po 一 ,…。 注 意 ,每 计算 一 个 数 ,就 和 查询 表 对 照 , 看 是 否 有 相等 的 。 如 果 发 现 有 相等 的 ， 
即 找到 i,j。 求 出 z==mj 十 i。 

一 个 常见 的 优化 方法 是 构造 有 序 的 查询 表 , 这 样 在 查找 的 时 候 更 快 一 些 。 查 询 表 的 
构造 需要 O(n) 时 间 计 算 a 的 n 个 究 .O(nlogn) 时 间 对 个 元 素 排序 (如 快速 排序 )。 如 果 
忽略 O(logn) , 则 预先 计算 的 时 间 为 O(n)。 预 先 计算 不 考虑 在 计算 离散 对 数 问 题 所 耗 时 
间 , 于 是 小 步 大 步 算 法 可 以 O(1) 时 间 内 完成 (对 个 有 序 元 素 的 查找 需要 O(logn) 时 间 
(如 二 分 查找 法 ,不 考虑 ) ,需要 的 存储 空间 为 0(n))。 这 结果 比 穷 举 搜索 法 的 计算 时 间 
O(n) 要 好 ,但 是 穷 举 搜索 需要 的 空间 为 O(1) 。 可 见 ,小 步 大 步 算法 是 用 空间 代价 换取 了 
时 间 效 率 。 
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算法 11.1 Baby-Step-Giant-Step(G,n,a,B)。 


/x* Baby Step Giant Step 算法 ,计算 logB * / 
/* 输入 : 任意 循环 群 G, 阶 为 na'B * / 
/* 输出 : logB */ 

{ 

mIVnl] 

Forj 0Tom1 

computing a™ 

save and sort (j,a®) (call 让 也) 

For i*0Tom1 

Be) 

Search y in L If y=a® Retum (mt+i) 

} 


计算 


例 11.1 设 在 群 Zi 中 计算 logs525。 
809 是 素数 ,3 是 Zios 的 生成 元 ,该 群 的 阶 为 808。 有 a==3,B= 525,m 


[vn 1 


[V808 |=29,a” mod 809=3” mod 809=99。 


(j ,99; mod 809)=[(1,0),(1,99),(2,93),(3,308),(4,559), 
(5,329).(6,211),(7.664),(8,207),(9,268),(10.644),(11,654) ， 
(12,26),(13,147),(14,800),(15,.727),(16,781),(17.464) ， 
(18,632),(19,275),(20,528),(21,496),(22,564),(23,15)， 
(245676)35(25;586);(26,575);(27;295);(28581)] 


(i,Bla ))=(i,525»。 (37)71)=[(0,525),(1,175),(2,328),(3,379), 
(4,396),(5,132),(6,.44),(7,544),(8,724),(9,511).(10,440), 
(11,686),(12.768),(13,256),(14,355),(15,388),(16.399)， 
(17,133),(18,314),(19,644)] 


可 以 发 现 ,j 二 10,i 二 19 时 ,出 现 相 等 。 于 是 logs525 王 (29。10 十 19) mod 809 王 309 。 
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就 有 


找到 
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Rho 方法 是 可 适用 于 任意 群 的 通用 方法 。 其 基本 思想 是 : 通过 和 迭代 计算 一 个 随机 画 
数 了 ,构造 一 个 序列 zi ,zz,…。 一 旦 在 序列 中 得 到 两 个 元 素 zz ,满足 zi 二 zj,(i<j)， 


希望 计算 出 log8。 为 了 节省 空间 ,通常 寻找 碰撞 zi 一 zzi。 
思考 11.2 ”什么 迭代 函数 能 够 在 找到 碰撞 后 求解 log.8。 


考虑 群 Z; ,p 为 素数 。 形 如 zi 二 a%B* mod p 的 随机 函数 (构成 一 个 随机 图 )。 如 果 


碰撞 zz; 二 x;(i 宇 1) , 则 a%ipB* 一 ap mod p, 于 是 
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ac 一 Ba mod p 
am i =p modp 
logsB= (bz;—b;) (a;—az) mod n 
这 里 是 a 的 阶 。 一 般 来 说 b; 一 b; 二 0 的 概率 可 以 忽略 。 先 将 群 中 元 素 均匀 分 成 3 
个 集合 ,z 在 不 同 集合 中 的 迭代 方程 不 同 ,便于 更 快 地 找到 碰撞 。 令 


paws mE 
“seo VE ds 


Qa* Tis XiESs 
为 了 在 迭代 中 保持 x; 二 =a" 不 变 , 显 然 x; ESi 时 ,ariti[B+1 二 Bz; 二 Ba"iB’ 二 a"ipB’it!， 
故 有 aiti 二 ai,biti 二 bi 十 1。 同 理 , 得 到 关于 a;,b; 的 递 推 关 系 : 
Qiy XiESI bit+l modn, ES 
Qit1 -全 mod n, ves Bn - mod 7 ER 
Qi 二 1 mod ns ES Zi， 六 
因此 ,如 果 将 (rt,a,5) 视 为 一 个 三 元 组 , 则 有 
(Brsasbt+1), ziES 
Ce ee XiES: 
(axsat1,b), zi:ES, 
于 是 可 以 得 到 算法 如 下 : 


算法 11.2: Rho-DLP(G,n,a,B)。 


/* 计算 离散 对 数 的 Pollard Rho 算 法 * / 
/* 输入 : 阶 为 素数 n 的 循环 群 6 的 一 个 生成 元 ,一 个 元 素 BEG* / 
/* 输出 : 离散 对 数 二 logB * / 
Procedure f(x,a,b) 

{ 

IExES f<-B* x,a, (tl) mdn); 

else if x€S, f<- (x,2amdn, Zrmdn); 
else 

f<— (a* x, (a+1) md n,b); 

Return (f); 

} 

main() 

{ 

SsUsUs; 

(x,ab)< £(1,0,0); 

Cab) fab); 

While sx Dof 

人 varb)< f(x,ab); 

ad) fab); 
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ab) fab); 

If god® - b,n)A1 Retum ("Failure"); 
Else Retum ((a-a) to-b) mdn))}; 

} 


例 11.2 整数 p= 二 809 是 素数 ,a 二 89,B 二 618, 计 算 log.p8。 
将 所 有 数 分 成 三 个 集合 : 
Si={7xE€EZs0: Tl mod 3} 
S,= {rE Zs0: TO0 mod 3} 
S;= {zxEZs0: T=2 mod 3} 
从 (1,0,0) 开 始 和 迭代 ,第 一 次 计算 运用 迭代 算式 1CzE Si) ,可 以 得 到 如 下 计算 过 程 ， 


i (xiai bi) (Zai ra2i Doi ) (xivai bi) (zai » a2 soi ) 
| (618,0,1) (76,0,2) 6 (488,1,5) (683,7,11) 
2 (76,0,2) (113,0,4) 7 (555,2,5) (451,8,12) 
3 (46,0,3) (488,1,5) 8 (605,4,10) (344,9,13) 
4 (113,0,4) (605,4,10) 9 (451,5,10) (112,11,13) 
5 (349,1,4) (422,5,11) 10 (422,5,11) (422,11,15) 


可 见 ,发 生 碰撞 是 zio ,二 x 二 422,a 二 89 在 Zé 的 阶 为 101。 故 
logsB=(15—11)-!(5—11) mod 101=6 .+ 47! mod 101 一 49 

算法 中 如 果 gcd(% 一 0.7 过 1, 则 算法 会 停止 并 输出 “Failure”, 这 种 情况 其 实 并 不 是 
完全 不 能 得 到 答案 ,如 果 gcd(b' 一 b,n) 二 d, 可 证 明 同 余 方 程 c(b' 一 0)==a 一 a’ modn,(c 二 
logsB) 有 4d 个 解 。 假 如 4d 不 是 很 大 ,可 以 直接 算出 d 个 解 进行 验证 。 

最 后 看 看 该 算法 的 效率 。 同 前 面 因 子 分 解 问题 的 Rho 算法 一 样 ,在 阶 循环 群 中 平 
均 经 过 O(n) 次 迭代 (随机 图 上 行走 的 圈 与 尾 的 长 度 和 的 期 望 值 , 即 p 的 期 望 值 ) ,会 发 生 
碰撞 。 
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下 面 看 一 个 对 特殊 的 群 有 效 的 算法 。 假 定 B= 二 {pi,ps，…,ps}) 是 一 个 “ 较 小 ”素数 的 
集合 (因子 基 ) ,指数 演算 法 (Index Calculus) 的 基本 思想 利用 logsp;, (1 三 i 三 B) ,来 计算 
logsB8。 如 何 计算 logsp;,1 志 i 二 B. 选 取 1 二 x 三 n 一 2, 使 得 a* mod n 的 素 因 子 都 在 集合 B 
中 ,考查 a’ 三 pt p88…p 多 mod n, 即 

Z=allogoj; 十 azlogops 十 … 十 aplogopas mod (7 一 1) 

这 个 方程 中 有 B 个 未 知 数 log.p;(1 委 i 委 B) ,因此 .随机 选取 忆 个 zj,1 委 已 乏 2 一 2， 

1 二 j 生 B, 可 以 得 到 B 个 相互 独立 的 同 余 方 程 : 
114 


me 第 11 章 离散 对 数 算法 mm 


Xj;=aylogsp1 Tazlogepzt Taglogsps mod (n—1), 1<j<B 
由 这 些 方程 可 以 计算 出 logpi,1<i<B。 
下 面 考虑 如 何 计算 log.8。 随 机 选择 ;,1 志 ;三 n 一 2, 使 得 pu mod n 的 素数 因子 都 在 
集合 B 中 ,于 是 


Ba’=pr ps pF modn 
即 
logsB+ slogsp1tcslogspst*+Tcalogsps mod (7 一 1) 
在 该 式 中 ,除了 log。8 未 知 外 ,其 他 都 是 已 知 的 。 于 是 可 以 求 出 log8。 最 后 再 次 强 
调 : B 人 个; ,1<z;<n—2,1<j<B 和 ss.1 三 ;三 n 一 2, 都 是 随机 选择 的 ,保留 那些 满足 所 
有 分 解 后 的 因子 都 在 因子 基 B 中 的 随机 值 , 否 则 重 试 。 
例 11.3 设 群 Z; ,n= 二 10007 为 素数 ,a 二 5,B 二 9451, 求 log。8。 
令 B= 二 {2,3,5,7}。 显 然 logs5 王 1, 故 只 需要 计算 logs2,logs3,logs7。 选 取 x 二 4063， 
5136,9865 ,计算 
5463s mod 10007 一 42 一 2。3 .7 
5536 mod 10007 一 54 一 2。33 
5s86 mod 10007 一 189 一 33。7 
于 是 有 
logs2 十 logs3 十 logs 7 三 4063 mod 10006 
logs2 十 3logs 3 三 5136 mod 10006 
3logs3 十 logs7 夺 9865 mod 10006 
可 以 求 得 logs 2 二 6578 ,logs3 一 6190,logs7 王 1301。 下 面 计 算 logs9451。 选 取 ;二 7736, 计 
算 9451。5?3 mod 10007 王 8400 一 24。3。5:。7。 于 是 有 
logs9451 =4logs2 十 logs3 十 2 十 logs7 一 s mod 10006 
4。6578 十 6190 十 2 十 1301 一 7736 mod 10006 
一 6057 
容易 验证 ,5s5 mod 10007 二 9451。 
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该 算法 适用 于 群 Z; ,n 是 一 个 素数 ,n 一 1 的 素数 因子 都 是 小 素数 的 情况 。 设 n 一 1= 
gi gp …gt ,其 中 g; 是 素数 ,1 三 i 三 &。 目 的 是 计算 logsB8, 也 就 是 寻找 a,0 二 a 三 n 一 2, 使 
得 a 二 8B mod n。 如 果 能 求 得 

a mod gt， i=1,2,.…,k 

则 根据 中 国 剩余 定理 ,可 以 求 得 a mod (n 一 1), 即 求 得 log。B。 

为 了 求 a mod of ,一 1,2,…,, 设 

a mod 对 一 ao 十 aagi 十 az 时 十 …… 十 aolg2 

其 中 ,0 委 w 肥 di ,0 入 ) 迄 ec 一 1。 下 面 的 目标 就 是 确定 a; (0<j<<e; 一 1)。 


1 
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因 5 mod n, 且 由 Fermat 定理 知 ,a”! 寺 1 mod n, 故 
pp “ma Vs modn 
= 0 ta te tt 1 GD/ ee 
三 a% "Vs mod n 
因此 ,为 了 确定 co ,可 以 通过 计算 8"?%% mod nn, 然后 穷 举 a? mod n(s 二 0,1， 
2,… ,gi 一 1) ,如 果 发 现 两 者 相等 , 则 此 时 的 一 co ,从 而 确定 了 co 。 
下 面 进一步 确定 a。 令 B= 二 B”"。 因 为 
Brn = Dd/d mod n 
a te tm te 1 nD/e ee 
TD/s modn 
同样 的 , 穷 举 wor54 mod n(s 二 0,1,2,3,… ,gi 一 1), 如 果 发 现 两 者 相等 , 则 此 时 的 
5 三 1。 可 见 , 穷 举 a*?% mod n(s 二 0,1,23,…,g; 一 1) 只 需要 一 次 ,将 其 保存 为 一 个 列 
表 , 不 妨 设 为 L。 一 般 地 , (使 用 数学 归纳 法 ) 假 设 已 经 求 得 ao sal,…,aj-1,1j<<e; 一 1。 
令 B =pBa stant™ta dd ,因为 


+1 -1 i+1 
per = 0 mn—D/g modn 


三 ao 


1 Hi DGn 一 DVI 
=ad tond tte gt Va-D/d! modn 


aj" 4 mod n 
在 表 工 中 查询 满足 条 件 的 ;二 a)。 
如 上 所 述 ,可 以 确定 co al，…,as-1, 从 而 得 到 a mod gr ,i 二 1,2,…,k。 再 根据 中 国 
剩余 定理 ,可 以 求 得 a mod (n 一 1), 即 求 得 log。8。 
根据 上 述 讨论 ,只 有 在 "一 1 的 素数 因子 是 小 素数 时 ,才能 有 效 地 分 解 n 一 1 求 得 gq ， 
这 就 是 Pohlig-Hellman 算法 的 适用 范围 。 
例 11.4 设 n=29,a==2,B=18。 计 算 log.8。 
由 于 ”一 1= 王 28 王 22。7!。 令 log,B= 二 a, 下 面 计 算 a mod 22 王 ao 十 ci。2:。 首 先 计 算 
列表 二 : 
ao "DL mod 29=2° mod 29=1 
oa "DD/ mod 29 一 228/2 mod 29 一 28 
因为 po"-D42 mod 29 二 18%”2 mod 29 一 28, 故 oo 王 1。 令 
及 王 po mod 29 王 18。2-: mod 29 一 9 


因为 : 


Bi !/2* mod 29=9*/* mod 29 一 28 
故 wa 王 1。 因 此 ,a mod 2? = 二 ao 十 al * 2! 二 3。 
下 面 计 算 a mod 7! = 二 ao ,首先 利用 公式 a”? mod 29 ,0 委 s 委 6。 
计算 得 到 1(s==0),16(s 二 1),24(s 二 2),7(s 二 3),25(s 二 4),23(s 二 5),20(s 二 6)。 因 
为 B”?7 mod 29 二 18”” mod 29 二 25, 故 ao 二 4。 因 此 a mod 7! 二 ao 二 4。 最 后 ,得 到 同 余 
方程 组 : 
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a 三 3 mod 2 
a 二 4 mod 7! 


根据 中 国 剩余 定理 ,可 以 求 得 a 二 11 mod 28。 因 此 ,在 Zws 中 1logs18==11。 


算法 11.3 Pohig-Hellman(G,n,a,B,g,e) 


/x* 计算 a,a 必 val* 用 于 最 终 求 logB mdn * / 
/# 输 入 : n-1 的 因子 分 解 后 的 素数 因子 中 及 其 寡 次 ex / 
/* 输 出: ava…vai, 即 可 用 其 求 得 amodad* / 
站 

j<0 

BB 

While j<c-1 

{BB 

find i s.t. S= am //s.t. 使 得 

ai< 

Bi-Biaraa 

拓 并 车 

Retum(laom…vac 1) 
} 


算法 的 时 间 复 杂 度 是 O(cq) ,经 过 观察 ,发 现 寻 找 满足 8 二 a 的 值 i, 可 视 为 解 一 个 特 
殊 的 离散 对 数 问题 , 即 i 二 logwr6 ,元 素 “的 阶 是 g, 所 以 每 个 i 可 用 yg 时 间 计算 ,这 样 算 
法 的 复杂 度 可 降 为 O(c Va)。 


思 考 题 


[1] 编写 程序 实现 本 章 介绍 的 四 种 离散 对 数 算法 ,并 进行 性 能 比较 。 
[2] 利用 高 性 能 计算 机 测试 计算 离散 对 数 问题 的 四 种 算法 。 
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本 章 最 后 给 出 一 些 高 级 应 用 ,如 GM 公 钥 密码 算法 和 CRT 在 秘密 共享 中 的 应 
本 章 重点 是 基于 CRT 的 秘密 共享 ,难度 是 GM 加 密 算法 。 


i 平方 剩余 在 GM 加 密 中 的 应 用 ， 


针对 确定 性 加 密 存在 的 问题 ,1982 年 ,S， Goldwasser 与 S，Micali 提出 了 概率 公 铀 
密码 系统 (probabilistic encryption scheme, 也 有 文献 称 为 随机 化 加 密 ) 的 概念 ,简单 解释 
就 是 加 密 体制 对 同一 明文 进行 两 次 加 密 得 到 的 密 文 有 可 能 不 同 。 并 提出 了 一 个 概率 公 钥 
密码 系统 , 称 为 Goldwasser-Micali 公 钥 密码 系统 。 概 率 公 钥 密码 体制 可 达到 更 严格 的 安 
全 目标 一 一 语义 安全 (Sematic Security) 。 

定义 12.1 多 项 式 安 全 。 如 果 一 个 被 动 敌手 不 能 在 期 望 的 多 项 式 时 间 内 选择 两 个 
明文 消息 mm ,ms, 且 以 大 于 1/2 的 概率 正确 区 分 ma ,ms 的 加 密 结果 。 

定理 12.1 一 个 公 钥 加 密 方案 是 语义 安全 的 , 当 且 仅 当 它 是 多 项 式 安全 的 。 

Goldwasser-Micali 加 密 体制 的 安全 性 是 基于 平方 剩余 问题 的 困难 性 假设 。 平方 剩 
余 问 题 是 指 : 如 果 不 知道 n 的 素数 因子 分 解 , 那 么 要 确定 模 n 的 平方 剩余 是 困难 的 。 

该 体制 是 概率 加 密 , 即 相同 的 明文 ,加 密 得 到 的 密 文 是 不 同 的 。 因 为 在 加 密 的 时 候 ， 
引入 了 随机 数 , 加 密 的 密 文 和 随机 数 有 关 ( 这 一 概率 加 密 的 思想 也 应 用 到 5. 4 节 ElGama 
加 密 方案 和 7.4 节 NTRU 加 密 方案 中 ) 。 

Goldwasser-Micali 加 密 体制 描述 如 下 : 


密 钥 生成 : 随机 选 定 大 素数 p 和 g, 计 算 二 pg。 随机 选 定 一 个 正 整 数 t 满足 : 
L(t,p) 二 L(t,q) 二 一 1, 即 t 是 模 p 和 g 的 平方 非 剩 余 。(n, 四 是 公 钥 ,p 和 g 是 私 钥 。 
这 里 L(1,p) 与 L(t1,qg) 均 表示 Legendre 符号 。 

加 密 过 程 : 设 要 加 密 的 明文 的 二 进 制 表示 为 m 二 mms…ms。 对 每 个 明文 比特 mm 
随机 选择 整数 x; ,1 三 x; 三 n 一 1, 计 算 : 

_ (tixi modn, mi=1 
| modn, m;=0 


得 到 密 文 c=(ci ,cs ，*…,c;)。 
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解密 过 程 : 待 解密 的 密 文 c= 二 (ci ,cs ,…,c,)。 对 每 个 密 文 项 ci;, 先 计算 出 Lec,p) 以 
及 L(ci,g) 的 值 ,然后 令 
fly Ll(ci,p)=L(ci,g)=—1 
m= {0 Llesp)=L(csg) =1 
得 到 解密 后 的 明文 712 一 77217722 mM, 。 


例 12.1 假设 私 钥 是 (5,7), 即 p==5,g 二 7, 选 择 1 二 3, 且 满足 其 为 p 和 g 的 平方 非 剩 
余 , 即 L(1,p)==L(t,g) 二 一 1, 公 和 钥 为 (35,3) ,明文 为 m 二 (11010), 求 加 密 、 解 密 过 程 。 


解答 : 
tr modn, m;=1 
加 密 方法 为 : c 二 | ， ,明文 为 (11010),z 一 3。 
Z modn, m;=0 
加 密 过 程 如 下 : 
C1 三 3 *。 8: mod 35 三 17 mod 35 
c=3* 4: mod 35==13 mod 35 
C3 三 3* mod 35=9 mod 35 
c=3* 6 mod 35 三 3 mod 35 
cs=7? mod 35=14 mod 35 
得 到 的 密 文 为 (17,13,9,3,14) 
下 面 讲 解 解密 过 程 : 
PE 2 he a 
0, L(c,p)=L(c;,g)=1 
对 密 文 (17,13,9,3,14) ,进行 解密 : 
Llc,p)=L(17,5)=1757V/ mod 5 一 一 1 
L(c1,g)=L(17,7)=17" 7 mod 7 三 一 1 
故 加 三 1。 同 理 可 得 m; 一 zm 王 1,.m3 王 zs 一 0, 从 而 明文 为 (11010) 。 
讨论 : 
如 果 在 选取 随机 数 的 时 候 , 恰 为 p 或 者 g 的 倍数 , 则 在 解密 时 得 到 的 Legendre 值 必 
有 一 个 为 0, 这 时 解 出 的 明文 比特 视 为 1, 即 当 且 仅 当 L(c,p) 二 Lci,q) 二 1 时 ,返回 0, 否 
则 为 1。 
效率 : 
Goldwasser-Micali 的 加 密 方法 的 主要 问题 是 : 由 于 是 逐 比 特 加 密 , 加 密 后 数据 扩展 
了 logzn 倍 (从 1 个 比特 的 明文 ,转变 为 logzn 长 的 密 文 ) ,因此 应 用 该 密码 体制 进行 加 密 
时 运算 量 大 ,速度 慢 ,只 适用 于 单个 二 进 制 比特 的 加 密 和 解密 。 
安全 性 分 析 : 
首先 给 出 几 个 事实 。 
(1) 设 p 是 一 个 奇 素数 ,a 是 Zi 的 一 个 生成 元 , 则 <cE Zi 为 模 p 的 平方 剩余 , 当 且 
仅 当 4a==ai mod p, 其 中 i 是 一 个 偶数 ,因此 |Q,| 二 (p 一 1)/2,1Q,|= 二 (p 一 1)/2。 即 2Z2 中 
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平方 剩余 和 平方 非 剩余 各 占 一 半 。 

(2) 设 n 为 两 个 互 不 相同 的 素数 p 和 g 的 乘积 . 则 a€ Z; 是 模 n 的 平方 剩余 , 当 且 仪 
当 a€EQ,,a€EQ,( 这 里 Q,,Q, 分 别 表示 模 p 和 模 g 的 平方 剩余 )。 因 此 ,1Q,|==1Q,|，… 
IQ|=(p—1)(g—1)/4,1Q,|=3(p—1)(g—1)/4。 


(3) 设 ">3 为 一 个 奇 整数 ,并 令 J，= [ae 如 | (各 ]=1}。 模 的 全 平方 集 定义 为 


J ,一 Q, ,以 @ 表 示 。 


(4) 设 "一 pg 为 两 个 互 不 相同 的 奇 素数 的 乘积 , 则 |Q,|=|@|=(p 一 1) (gq 一 1)/4， 
即 几 中 一 半 元 素 为 平方 剩余 ,一半 元 素 为 伪 平 方 。 
由 于 xz 是 从 Z; 中 随机 选择 的 ,zs mod n 是 模 n 的 一 个 随机 平方 剩余 ,zz?* 是 模 的 


一 个 随机 伪 平 方 。 收 手 共 获 者 获取 密 文 6, 计算 雅克 比 符号 ( 见 8.3 节 定义 8.1) 所 ]= 


1。 但 是 ,不 论 m=0,1, 均 有 [ 生 ]= 1, 所 以 敌手 得 不 到 关于 明文 的 任何 信息 ,只 能 猜测 。 
因此 ,Goldwasser-Micali 方案 是 语义 安全 的 。 
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1221 秘密 共享 的 概念 


首先 思考 两 个 场景 : 

(1) 某 个 银行 有 三 位 出 纳 , 他 们 每 天 都 要 开启 保险 库 。 为 防止 每 位 出 纳 可 能 出 现 的 
监 守 自 盗 行为 ,银行 规定 至 少 有 两 位 出 纳 在 场 才能 开启 保险 库 。 

(2) 核 按钮 通常 掌握 在 三 方 手 上 ,总 统 、 国 防 部 长 .国防 部 ,只 有 当 三 方 中 的 两 方 在 场 
时 , 才 可 以 是 最 终 控制 核 按 钮 。 

上 述 两 个 问题 可 以 利用 秘密 共享 (Secret Sharing) 方 案 来 实现 。 所 谓 秘密 分 享 就 是 
将 一 个 密 钥 分 成 许多 份额 (Share, 又 叫 影子 Shadow) ,然后 秘密 地 分 配给 一 些 有 关 人 员 ， 
使 得 某 些 有 关 人 员 在 同时 拿 出 他 们 的 份额 后 可 以 重建 密 钥 ,而 另外 一 些 有 关 人 员 在 同时 
拿 出 他 们 的 份额 后 不 能 重建 密 钥 。 

严格 地 说 ,秘密 共享 技术 的 基本 要 求 是 将 秘密 & 分 成 n 个 份额 ys ，…ss 

(1) 已 知 任意 1 个 s; 易于 求 出 k; 

(2) 已 知 任意 :一 1 个 s; 或 更 少 的 ;; ,不 能 确定 A。 

因此 ,这 种 秘密 共享 也 称 为 (1.n) 门 限 (threshold) 方 案 (1<n)。 

秘密 共享 的 概念 是 Adi Shamir 于 1979 年 给 出 的 , Shamir 提出 的 方案 是 根据 
Lagrange 插值 公式 构造 了 (+t 过 nn) 门限 方案 , 即 为 了 重 构 1 一 1 次 多 项 式 , 该 多 项 式 有 上 个 
未 知 的 多 项 式 系数 ,需要 知道 上 个 点 ,才能 重 构 多 项 式 曲线 。 如 果 只 知道 1 一 1 个 点 , 则 完 
全 无 法 确定 多 项 式 系数 。 其 示意 图 见 图 12. 1。 

120 


Eee 第 12 章 其 他 高 级 应 用 mm 


7 
Co 
(ris yr) 
0, 用 Go 2) 
CD) 
O 3 


图 12.1 Adi Shamir 秘密 共享 方案 


秘密 共享 技术 提供 了 密 钥 抗 泄露 的 可 靠 性 ,可 以 与 其 他 密码 学 技术 融合 在 一 起 ,提供 
密码 学 技术 的 健壮 性 (提高 抗 共 谋 、 容 错 、 容 入 侵 等 能 力 ) 。 秘 密 共 享 构成 了 门限 密码 学 
(Threshold Cryptography) 的 基础 。 


1222 基于 CRT 的 简单 门限 方案 


基于 中 国 剩余 定理 可 以 构造 (1,n) 门 限 方案 ,因为 它 有 着 类 似 于 方程 组 的 结构 。 
(1) 参数 设置 : 设 ma ,ms ,…，*m 是 nn 个 严格 递增 的 大 于 1 的 整数 , 且 满 足 gcd(m;， 
mi)=1CVi,j 7) ;BR mm ma mm "mo 这 说 明 ,1 一 1 个 m; 乘积 的 最 大 
值 ,小 于 t 个 mm; 乘积 的 最 小 值 。 分 发 的 份额 是 秘密 对 这 个 不 同 模 数 的 剩余 。 需 要 共 
享 的 秘密 数据 满足 ws-1…7mw-i+z 二 kh 二 mms*…m,。 因 此 ,秘密 至 少 需要 1 个 方程 才 
能 确定 。 
(2) 秘密 分 发 : 计算 M==mmz*…m,ss; 三 k (mod mm;) (一 1.2.…,72)。(vy7i,M) 是 
分 发 的 份额 。 集 合 { Gi ,MD ) 夺 1 即 构成 了 一 个 (1,n) 门 限 方案 的 份额 集合 。 
(3) 秘密 重 构 : 在 1 个 参与 者 ( 记 为 ,i,,…,i,) 中 ,每 个 i 计算 
Mi =M/m; 
N; =Mi! (mod mi ) 
Yi =s,M; N; 

结合 起 来 ,根据 中 国 剩余 定理 可 求 得 


k= Dy, maa Im 
j=1 j=1 


显然 , 若 参与 者 少 于 上 个 , 则 无 法 求 出 秘密 A。 

例 12.2 设 1=3,n==5,mm 二 97,mz 二 98,ms 二 99,m4 二 101,ms 二 103, 秘 密 数据 = 
671875 ,满足 10403= 二 mms 三 kh 三 mmmz1n3 一 941094。 

计算 M=mmzmsmams 二 9790200882,s; 二 kh(mod 1m;) (i 二 1,2,…,5) 得 $1 二 53,3s 二 
85,5s 二 61, $4 二 23,5s 二 6。5 个 份额 为 (53, mi 一 97, M 二 9790200882), (85, 98， 
9790200882),(61,99,9790200882),(23,101,9790200882),(6,103,9790200882)。 

现在 假定 ,is ,is 联合 起 来 计算 ,分 别 计算 : 
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Mi=M/mi=100929906 
ol mi)=95 
M;,=M/m;=99900009 
[Wg mz)=13 
M;=M/ms=98890918 
al ms)=31 
得 到 
k=s1Mi Nts MN;,+tss Ms Ns (mod mimzms) 
一 53。100929906。95 十 85。99900009。13 
十 61。98890918。31(Cmod 97。98。99) 
一 805574312593(mod 941094) 
一 671875 
可 见 秘密 正确 。 现 在 假定 ,za ,is 联合 起 来 计算 ,分别 计算 : 
M=M/m=100929906 
fa =Mi!(mod m)=95 
M,=M/m,=96932682 
fw =M7!(mod m,)=61 
Ms=M/ms=95050494 
red ms)=100 
得 到 
k=sMiNi+s MN,tss Ms Ns (mod mimams ) 
一 53。100929906。95 十 23。96932682。61 
十 6。95050494。100(mod 97。101。103) 
一 70120825956 (mod 1009091) 
一 671875 
可 见 , 秘 密 正确 。 现 在 假定 ,is 联合 起 来 计算 A, 分 别 计算 : 
k=5 MNits MN (mod mna) 
一 53。100929906。95 十 23。96932682。61(mod 97。101) 
一 644178629556(mod 9797) 
=5679 
得 到 的 秘密 不 正确 。 其 原因 是 发 生 了 “ 折 回 ”, 即 671875 mod 9797 一 5679。 
容易 发 现 这 一 方案 的 问题 是 区 间 [msm ii…ms ,ya W712…m] 不 够 大 ,容易 猜测 出 
&。 于 是 引出 了 下 一 节 要 介绍 的 方案 Asmuth-Bloom 秘密 共享 方案 。 


1223 ”Asnuth-Boom 秘 密 共 享 方案 


有 了 上 一 节 的 铺垫 ,本 节 的 内 容 就 容易 理解 。 将 上 一 节 的 方案 进行 了 推广 ,Asmuth 
和 Bloom 于 1980 年 提出 了 基于 中 国 剩 余 定理 (1,n) 门 限 方案 ,同上 ,份额 是 由 秘密 上 推算 
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出 的 数 > 对 不 同 模 数 mi ,ms ,… ,zz 的 剩余 。 

(1) 参数 设置 。 令 q 是 一 个 大 素数 ,ma ,zzz ,zz 是 nn 个 严格 递增 的 数 , 且 满 足下 列 
条 件 : 

© aq>k; 

©@ gcdlmism;)=1, Vij ij 

©@ gcd(g,mi)=1,i=1,2,.% ,ns 


@M= 机 元 > gas 

条 件 @ 表 明 秘 密 上 必须 小 于 9 条 件 加 指出 nn 个 模 数 两 两 互 素 (可 构成 中 国 剩余 定理 
的 方程 ) ;条 件 @ 表 示 n 个 模 数 都 与 g 互 素 ;条 件 @ 指 出 ,t 一 1 个 模 数 mm; 之 积 的 最 大 值 , 即 
使 乘 上 gq, 也 没有 1 个 模 数 m; 之 积 的 最 小 值 M 大 。 这 是 Asmuth-Bloom 秘密 共享 方案 对 
上 一 节 方 案 的 主要 扩展 之 处 。 上 一 节 的 方案 中 1 一 1 个 模 数 m; 之 积 最 大 值 Max( 工 一 ) 
与 + 个 模 数 m; 之 积 最 小 值 Min( 11') 之 间 至 少 可 以 容纳 一 个 待 共享 的 秘密 ,而 扩展 方案 则 
可 以 容纳 更 多 的 待 共享 的 秘密 。 

(2) 秘密 分 发 。 

首先 ,随机 选取 整数 A 满足 0ALM/g 一 1, 并 公布 g 和 A; 

其 次 ,y=k 十 Ag, 则 有 y<g 十 Ag 二 (A 十 Dg<LM/g .gM; 即 秘密 上 放大 了 Ag。 

最 后 ,计算 y; 二 y mod mi(i 二 1.2…… ,nn)。(miwyi) 即 为 一 个 份额 ,将 其 分 别传 送 给 n 
全 用户。 

集合 {Cmi,yi) 1i 二 1,2,…,n}) 即 构成 了 一 个 (1,n) 门 限 方案 。 

(3) 秘密 重 构 。 

当 个 参与 者 记 ,is，… ,i 提供 出 自己 的 子 份额 ,由 {Gm ,yi )1i 王 1,2,…,t) 建 立方 
程 组 

yy mod ma 


yy mod mi, 


yy mod m;, 
根据 中 国 剩余 定理 可 求 得 
y 三 y’ mod M/ 


其 中 , M' = [[ ms 二 M。 然后 由 y 一 Ag 即 得 秘密 人 。 


正确 性 证 明 。 

因为 由 zt 个 成 员 的 共享 计算 得 到 的 模 满足 条 件 y 二 MM ,所 以 解 出 的 y 是 唯一 的 ， 
就 是 y mod M 。 再 由 y 一 Ad 即 得 秘密 人 。 

若 仅 有 :一 1 个 参与 者 提供 自己 的 份额 (mi;,y;) .条件 是 y 圭 y mod M ,但 只 能 求 得 
yy 三 y mod M , 式 中 M 一 开征 io ,yy 发生 了 “ 折 回 ”( 即 y 盖 M“) 。 由 条 件 田 得 M 一 My/a， 
即 M/M >q。 
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下 面 说 明 这 种 * 折 回 "至 少 有 4 次 。 令 y 一 YY 十 eM, 其 中 0<e< 辫 < 部 :由 于 M/ 


Mgq,(M',q)=1, 当 c 在 [0,g] 之 间 变 化 时 ,y 十 cM'“ 都 是 > 的 可 能 取 值 , 共 9 十 1 个 , 因 
此 无 法 确定 哪个 是 正确 的 y。 

例 12.3 设 秘密 k= 二 4, 要 求 构建 一 个 (3,5) 门 限 方案 。 

(1) 参数 设置 。 设 选取 素数 g 王 7,5 个 模 数 分 别 为 mi 二 17,ms 二 19,ms 二 23,m4 
29,ms 二 31。 容 易 验证 模 数 满足 前 3 个 条 件 。 

又 因为 M==m*， mz * ms 二 17，。19。23 二 7429 之 gm * ms 二 7。29。31 二 6293, 则 
第 4 个 条 件 也 满足 。 

7429 


(2) 秘密 分 发 。 在 [0 ”7 | 一 1] 二 [0,1060] 之 间 随 机 取 A 二 117, 求 得 y==k 十 Ag 二 4 十 
117。7 二 823, 然 后 计算 


Ny mod m=823 mod 17=7 

三 y mod m; 三 823 mod 19=6 

yi 三 y mod ms 三 823 mod 23 三 18 

yy mod m4 三 823 mod 29 三 11 

ys 三 y mod ms 三 823 mod 31 三 17 
{(17,7),(19,6),(23,18),(29,11),(31,17)} 即 构成 一 个 (3,5) 门 限 方案 。 
(3) 秘密 重 构 。 若 第 1、3、5 个 成 员 想 恢复 秘密 , 则 他 们 提供 自己 的 份额 {(17,7)， 

(23,18),(29,11)} ,建立 方程 组 : 


y 三 7 mod 17 
y 三 18 mod 23 
yy 三 11 mod 29 
由 此 得 : 
M 王 17。23。29 王 11339 
Mi 一 23。29 一 667 Mi!'=13 
M: 王 17。29 王 493 Mz :一 
M;=17* 23=391 Mi 一 27 
由 中 国 剩余 定理 得 : 


y 三 (7。 667。13 十 18* 493。7 十 11* 391。27) mod 11339 三 823 
所 以 ,恢复 秘密 为 k= 二 y 一 Ag 二 823 一 117。7 二 4。 


[1] 编写 程序 实现 Goldwasser-Micali 加 密 体制 。 
[2] 编写 程序 实现 Asmuth-Bloom 秘密 共享 机 制 。 
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